Los abogados ante los ciberataques
La contratación de seguros para evitar los estragos de los piratas informáticos va ganando adeptos entre los bufetes
Jaque a los despachos. En los últimos tiempos, los bufetes se han convertido en un blanco fácil para los piratas informáticos. El tipo de información que manejan y el hecho de que muchos de ellos sean firmas pequeñas (y, por ello) más vulnerables, les convierte en un objetivo especialmente atractivo para estos delincuentes.
En España se gestionan a diario casi 400 incidentes de ciberseguridad. En el caso de los despachos de abogados, en 2016 se contabilizaron 70 incidentes por ransomware, programas informáticos que infectan y bloquean los archivos y sistemas, exigiendo el pago de un rescate a cambio de liberarlos. También se detectaron 66 páginas web de despachos con programas maliciosos inyectados, otras 158 habían sido víctimas de una alteración de su apariencia original, y 40 webs de bufetes alojaban phishing, según datos del Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi), operado por el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC).
Los bufetes también han sido víctimas de ciberataques que se han utilizado para sacar a la luz información confidencial de clientes, como sucedió con los Papeles de Panamá o con Football Leaks, filtrándose numerosa documentación de personajes conocidos procedente de despachos. Además, los grandes ciberataques de nivel mundial como Wannacry y Petya también se han cobrado víctimas entre las firmas legales. De hecho, en la lista de damnificados por Petya figuraba uno de los bufetes más grandes del mundo, DLA Piper, que estuvo casi una semana paralizado, sin acceso a ordenadores, correos o teléfonos.
Más reclamaciones
El nuevo Reglamento europeo de Protección de Datos, que será de aplicación en mayo de 2018, obliga a las empresas –o despachos en este caso- a comunicar cualquier brecha de seguridad a los posibles afectados, por lo que se prevé que se disparen las reclamaciones en este sentido. Según apunta Carolina Daantje, directora de Ciber Riesgos en Willis Towers Watson, “a nivel mundial, los organismos reguladores de protección de datos no sólo dictan los requerimientos sobre cómo las empresas tienen que recopilar y almacenar la información sensible de terceros sino también cómo limitar el daño ocasionado a terceros cuando ocurre una brecha de privacidad, y vigilan muy de cerca la actividad de la empresa, investigando cualquier incumplimiento de protección de datos”
Con este panorama, la contratación de ciberseguros va ganando adeptos. Según asegura Carmen Segovia, responsable nacional de Ciber Riesgos en Aon España, “hay un aumento de la contratación de este tipo de pólizas, sobre todo porque han sido muchas las empresas afectadas que no tenían cobertura”. De hecho, en el caso de los bufetes, la propia Mutualidad de la Abogacía está estudiando con Aon, aseguradora que da cobertura actualmente a los abogados mutualistas, una propuesta para poder añadir una póliza para casos de ciberataques.
Y es que las pérdidas por estos incidentes pueden ser cuantiosas. En el caso de DLA Piper, algunas publicaciones señalaron que el ataque le podría haber costado millones de dólares. No parece descabellado, teniendo en cuenta que, a nivel mundial, las compañías pierden al año, de media, 2,3 millones como consecuencias de ciberataques o incidentes de seguridad, según la Encuesta Mundial sobre el Estado de la Seguridad de la Información, de la consultora PwC.
Un portavoz de DLA Piper en España señala que la firma “tiene suscritos varios seguros relacionados con este incidente”, pero no concreta más. Respecto al coste financiero del ataque apunta que “es demasiado pronto para saberlo” y subraya que “la firma se ha centrado en restablecer los sistemas con total seguridad y lo más rápidamente posible, para poder continuar prestando un servicio excelente a sus clientes”.
En todo caso, los costes son difíciles de calcular, como también lo es cuantificar la cobertura de determinados riesgos. A las pérdidas derivadas de la necesidad de recuperar el acceso de nuevo a la información, habría que sumar una serie de costes indirectos, de mayor cuantía y más difíciles de reparar, como la pérdida de clientes, el daño reputacional, la discontinuidad del negocio, las sanciones derivadas de fugas de datos o la responsabilidad civil de socios y directivos.
Carmen Segovia explica que los despachos se interesan por las pólizas contra ciberataques porque les permite asegurar su responsabilidad legal frente a terceros derivada de un fallo de seguridad que pudiese comprometer información confidencial. Y explica que, en caso de sufrir una brecha de seguridad, la póliza asume una serie de gastos, como los honorarios de informática forense, o incluso los de comunicación, en caso de que el evento llegue a los medios, para evitar o minimizar el daño a la imagen del bufete. Y, si se sufre una ciberextorsión, se garantizan los costes necesarios para poder gestionarla.
El dilema de las pymes
Según señala Segovia, las principales firmas de abogados ya tienen contratada la cobertura —o están en vías de hacerlo— para todo este tipo de riesgos. Pero, ¿qué pasa con las firmas pequeñas? Desde la correduría de seguros Perea Grup, cuyos clientes son pymes, señalan que muchas continúan sin conocer hasta qué punto estos riesgos pueden transferirse a una aseguradora. Y no sólo ante amenazas externas, también pueden ofrecer cobertura a errores u omisiones originadas dentro de la organización: “El seguro puede cubrir el riesgo de que un empleado robe y haga pública información personal de los clientes o la posibilidad de que alguien adjunte por error información confidencial en un email”.
Pero los seguros no cubren todo, también advierten de que se excluyen de la cobertura los actos delictivos, las conductas deliberadas realizadas por la sociedad o por determinados cargos, las reclamaciones derivadas de la obtención de datos de forma ilícita, las circunstancias ocurridas antes de la contratación de la póliza o el dolo, omisión o mala fe en lo declarado en el cuestionario de suscripción.
Los ataques son especialmente delicados para los abogados, ya que sobre sus espaldas recae numerosa normativa si no se respeta y protege el secreto profesional y la información de los clientes. El código deontológico contempla hasta la inhabilitación en caso de incumplimiento, la regulación de protección de datos impone multas e incluso el Código Penal tipifica el quebranto de la obligación de guardar secreto profesional en su artículo 199.2, castigándolo con penas de prisión de uno a cuatro años.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.