Por Martín Francisco Elizalde
Foresenics

A principios del mes de Abril pasado la sede de Panamá de la firma Mossak Fonseca, especializada en la prestación de servicios fiduciarios a nivel internacional, comunicó  tersamente a sus clientes que,  “por desgracia”, había sufrido un “ataque a su servidor de correo electrónico” y “un ataque informático contra su base de datos”. Mossack Fonseca aseguró que estaba adoptando “todas las medidas necesarias para prevenir que vuelva a ocurrir”; que había “reforzado” sus sistemas de seguridad tra su acceso por personas ajenas a la firma. Pidió disculpas a sus clientes y puso a su disposición un correo electrónico para aclararles cualquier duda adicional. Me imagino que recibió muchos mensajes- quizás bastante ansiosos.

1. Ataques informáticos contra estudios de abogados: episódicos o frecuentes?

En un completo informe sobre este punto, Citigroup concluye que los estudios jurídicos son  blancos atractivos para los delincuentes informáticos,  dado que habitualmente acceden y almacenan datos sensibles de sus clientes como parte de sus operaciones diarias.

Pero una cosa es establecer este axioma, que parece muy lógico como vamos a ver más adelanrte, y otra muy distinta fundarlo en data cierta. Los abogados detestan referirse a debilidades propias, cuando en su labor diaria tratan de solucionar las ajenas. No hay estadísticas directas de ataques, de su gravedad o frecuencia, tal como existen en otros sectores de los servicios. Leo Taddeo, que es el agente especial a cargo de la División de Operaciones Informáticas y Especiales para la sede de Nueva York del FBI, reconoce que no  ha oído de ningún estudio jurídico afectado. “O los estudios cuentan con una seguridad perfecta, o han sufrido espionaje informático y lo saben, o han sufrido espionaje informático y no lo dicen.”

Habrá que recurrir a la información técnica de carácter general en la materia, en cuanto se refiera a la práctica de la abogacía. Y según estos estudios, existe la sensación entre los especialistas que los ataques no sólo son recurrentes, sino crecientes:

a. Así, el Informe Anual de Seguridad Cisco de 2015 mencionó a los estudios jurídicos como el séptimo blanco más alto para los delincuentes informáticos en el último año, quedando en el ranking solamente detrás de las industrias farmacéutica/química, de medios/publicidad,  fabril, de transporte terrestre/marítimo, de la aviación y de alimentos/bebidas.  Y ese fue el primer año en que los servicios legales e figuraron en el listado de víctimas. Pero el informe avanza un paso más, en relación al objeto de este acápite: sugiere casi un 50% de aumento de un año al otro en la posibilidad de que los estudios jurídicos  enfrenten ataques de software maliciosos.

b. Otra fuente,  ya en 2012,  Mandiant, estimó que más de 80 de los primeros 100 (por ingresos) estudios jurídicos con sede en Estados Unidos habían sufrido ataques de hackers (piratas informáticos) en el año previo, un número asombroso. Según este informe,  casi la totalidad de los estudios jurídicos más grandes han enfrentado alguna clase de violación de datos. Según otro estudio, esta vez de la American Bar Association, uno de cada cuatro firmas de abogados con más de 100 abogados en USA han experimentado el ataque de hackers, o uno dirigido a su web site o pérdida o robo de computadoras y celulares.

c. Las agencias de seguridad estatales,  como particularmente lo hizo el FBI, también han puesto mucho el énfasis en asesorar a estudios jurídicos en cuanto a la amenaza de los ataques  informáticos así como en instar a los principales estudios jurídicos a mejorar la forma de compartir y divulgar información cuando realmente ocurren los incidentes. Está claro que el asesoramiento no llega a todos - ni el consejo es seguido por todos.

2. Bajas defensas endémicas  o un malestar pasajero?

Aunque parezca un pregunta relacionada a un malestar físico, apunta en realidad a determinar si la vulnerabilidad es crónica, es decir se trata de blancos atractivos con escasa defensa o sólos una etapa por la que hay que transitar pacientemente hasta que concluya.

Veamos,  apuntando la primera opción, un especialista asegura que “los estudios jurídicos son blancos muy atractivos. Poseen información de los clientes sobre negociaciones en las cuales sus adversarios están muy interesados”, dice Harvey Rishikof, co presidente de la Fuerza Especial Legal de Seguridad Informática de la Asociación de Abogados de Estados Unidos. “Son un tesoro muy atractivo para los delincuentes, para los gobiernos extranjeros, para los adversarios y para las agencias de inteligencia”.

Por qué serían tan atractivos? Hay varios motivos para que la información digital almacenada en un estudio jurídico sea valiosa.  Primero, porque como los expertos señalan, a medida que determinados negocios hacen que para los delincuentes sea más difícil penetrar en sus respectivos sistemas informáticos y redes de computadoras, la línea siguiente de los blancos potenciales son aquellos negocios que conservan muchísimos datos que contienen información de identificación personal , pero que carecen de seguridad protectora suficiente. Esto tiene sentido: es mucho más dificil acceder a la data de un banco que a la de su abogado externo. Y ambos pueden almacenar la misma clase de información sensible.

Otro punto señalado por la doctrina para señalar que es una debilidad intrínseca, es que si los datos se pueden usar exitosamente para robar identidades, entonces los delincuentes los pueden usar para cometer un fraude durante días, semanas o meses antes de que se detecte el robo de identidad. Y hasta los pueden vender a otros hackers en cualquier parte del mundo. Es evidente que este atractivo no es estacional...

Por último, un punto que expone permanentemente al estudio es la manera en que se almacena actualmente la información. Tradicionalmente, se hacía en archivos de papel. La marea de papeles que inundaba a los estudios era de antología… Pero hoy los documentos se guardan en formato  electrónico. A lo que hay que sumar los documentos almacenados en la nube. Dropbox y otros servicios son muy populares entre los letrados. El acceso por parte de un delincuente a esos datos es más rápido que cuando debía inspeccionar cientos de cajas con miles de documentos en papel. Por otro lado, la posibilidad de movilizarlos y copiarlos es exponencialmente más veloz.  El archivo digital, con todas sus ventajas, es un blanco más codiciado que el gráfico.

La evidencia expuesta  sugiere entonces  que nos encontramos ante una debilidad estructural de cualquier firma de abogados.

Y que  esta característica es democrática: no importa el tamaño de su organización, si su negocio es recolectar información que es valiosa -más adelante me voy a expandir en este punto- existen muchas posibilidades de que otros quieran apoderarse de ella.

3. La información que vale.

Para medir el daño que potencialmente puede sufrir una firma, es siempre conveniente hacer un repaso del tipo de documentación que esa firma almacena. Información digital y de los clientes, quiero decir.

Porque resulta muy frecuente que la reacción ante este tipo de “inventario”, sea  “nosotros no almacenamos nada realmente importante”. En realidad, la importancia no se sabe hasta que el documento se usa ilegítimamente y la información se revela de igual menera.

Pero, básicamente, me parece que el siguiente párrafo, que no es de mi autoría, puede ser muy claro. Los estudios de abogados almacenan:

La información de identificación personal, que  es aquella información que se puede usar, directa o indirectamente, o en combinación con otras informaciones, para identificar a una persona específica. La misma incluye un nombre, número de documento de identidad, símbolo u otra identificación asignada a una persona;  Cualquier información que describa algún elemento acerca de una persona; Cualquier información que indique acciones realizadas por o hacia una persona; y Cualquier información que indique que una persona posee determinadas características personales. 

Sinceramente, su firma no almacena nada de ello? Tampoco pruebas confiadas por su cliente, testimonios, informes confidenciales, fotografías , planos, records de due diligence, datos financieros, familiares, societarios? Tampoco registros tributarios? Claro que sí. Y es lógico, Ud. es abogado, necesita almacenar toda la información posible sobre su cliente. Nadie defiende a un completo desconocido.

4. El listado de los dolores

El listado de amenazas es bastante considerable.  Quizás la más obvia, por frecuente,  es la del caso del abogado o del empleado de la firma que que abre un mensaje de correo electrónico falso. Exponiendo a la data a todo tipo de malware, phishing, etc.

Pero, tal como el infortunado Mossak Fonseca lo puede atestiguar, hay amenazas  mucho más intrincadas e invasivas. Los especialistas mencionan a las violaciones “típicas” como al que afecta a la piratería informática, terceros subcontratistas, transferencia de datos, robo de empleados o personas con información privilegiada y un error o culpa de un abogado o empleado- parcialmente subsumida en la del párrafo anterior.

Una violación informática relativamente frecuente en los estudios jurídicos es la relacionada con la pérdida o el robo de una computadora portátil, una unidad de disco USB, un teléfono inteligente, una tableta u otro dispositivo móvil.

Si la información que está en el dispositivo no estuviera encriptada, es probable que haya ocurrido una violación.  No es necesario recordar que sólo una porción de los documentos y  sistemas se encuentra encriptada. Los especialistas recuerdan que con el acceso al correo electrónico de la oficina y a otras redes de estudios jurídicos, el robo o extravío puede ser una puerta abierta para los delincuentes informáticos para tener acceso y robar información confidencial. Estos ataques toman formas muy diferentes, que incluyen redes de delincuentes extranjeros y nacionales que buscan medios fáciles para robar información.

5. Mossak Fonseca. Crónica de una muerte anunciada.

El Profesor Alan Woodward, un experto en seguridad informática de la Universidad de Surrey le dijo a la publicación WIRED que el extremo frontal de Mossack Fonseca parecía estar “horriblemente” desactualizado. “No puedo entenderlo”, continuó Woodward. “Tome por ejemplo Outlook Web Access, si usted mantiene su Servidor de Intercambio actualizado  esto simplemente progresa en forma natural. Parecen haber quedado atrapados en un túnel del tiempo. Si yo fuera uno de sus clientes estaría muy preocupado porque se estaban comunicando usando dicha tecnología desactualizada”.

Demuestra que la manera en la cual se configuró el servidor y la manera en la cual se configuró la página web no están dentro de las mejores prácticas de seguridad”, le dijo una fuente anónima a WIRED. Siguió diciendo que el método podría ser usado por otras personas para acceder a los datos. “Estamos hablando de un servidor mal configurado que habilita listados de direcciones”.

Los mensajes de correo electrónico de Mossak Fonseca tampoco estaban encriptados, según el experto en privacidad Christopher Soghoian que señaló que la empresa no usaba el protocolo de seguridad TLS. “Dada la actividad que realizan, considero que es bastante sorprendente que no hayan pensado en asegurar mejor sus mensajes de correo electrónico”, le dijo a WIRED Angela Sasse, profesora de tecnología centrada en los seres humanos de la Universidad College London.

Entre otros errores, Mossak Fonseca no actualizó su conexión de Outlook Web Access desde 2009 y no actualizó su portal de conexión de los clientes desde 2013. El portal de clientes de Mossak Fonseca también es vulnerable al ataque de DROWN, un aprovechamiento de la seguridad que tiene como blancos a los servidores que son el soporte del protocolo obsoleto e inseguro SSL v2. Según el registro de cambios de la página, el portal, que corre en la fuente abierta CMS (Sistema de Gestión de Contenido) Drupal, se actualizó por última vez en agosto de 2013. En su página web principal, Mossak Fonseca sostiene que su Portal de Información de los Clientes ofrece una “cuenta en línea segura” que permite que los clientes accedan a “la información societaria en cualquier lugar y en todos los lugares”. La versión de Drupal usada por el portal tiene por lo menos 25 vulnerabilidades, que incluyen una vulnerabilidad a las infecciones del SQL de alto riesgo que permite que cualquier persona ejecute en forma remota comandos arbitrarios. También se puede tener acceso a las áreas del extremo posterior del portal adivinando la estructura del URL, señaló el  Profesor Alan Woodward.

Pero, en justicia, ninguno de estos fallos de seguridad en sí mismo son considerados letales. He conversado con Gabriel Paradelo, de Foresenics y alguno hasta le pareció de escasa gravedad. Quizás lo grave, en mi criterio de lego, sea la conducta general, la posición de descuido, que el conjunto de fallas sugiere.

6. Hacer la tarea:  nueve pasos para prevenir una violación de la seguridad

Recurro al catálogo de Steve Couch, presidente y  CEO de la Ohio Bar Liability Insurance Company:

● Además de obtener una protección de un seguro contra una pérdida, los estudios jurídicos pueden y deben tomar las siguientes medidas para contribuir a prevenir una violación de la seguridad.

● Desarrollar un amplio plan de seguridad de la información diseñado para prevenir violaciones de datos.

● Realizar una evaluación de riesgos, que suele contar con la ayuda de los servicios de proveedores de tecnología informática (TI, por su sigla en inglés) informados, objetivos e independientes.

● Usar una  tecnología de encriptación apropiada en servidores, computadoras de escritorio, computadoras portátiles y todos los dispositivos móviles.

● Limitar el acceso a sistemas informáticos, al correo electrónico  y a libretas de direcciones solamente a usuarios conocidos y confiables  e implementar y seguir políticas  contraseñas apropiadas.

● Desarrollar y seguir una política de retención y destrucción de datos, de manera tal que los datos personales no estén en riesgo. Es importante limpiar y eliminar la información personal que ya no sea necesaria y francamente, evitar recolectar datos que no sean esenciales. Los estudios jurídicos deben analizar cuidadosamente el lugar donde se conservan esos datos y limitar el número de lugares donde se retienen esos datos.

● Mantener actualizado el software antivirus y de seguridad, aplicando habitualmente  los parches recomendados.

● Capacitar a los empleados en la manipulación y protección apropiada de datos sensibles y en el uso y la protección de las contraseñas.

● Implementar y seguir un protocolo de seguridad para Internet por escrito (WISP, por su sigla en inglés) para explicar detalladamente de qué manera se debe realizar el acceso y el uso de Internet en las computadoras del estudio y específicamente, los límites sobre dicho uso. No solamente este proceso de capacitación de los empleados es importante, sino que el manejo de esta exposición también debe continuar a través de estrategias de salida de los empleados, advirtiendo que los antiguos empleados descontentos representan un riesgo importante para una potencial violación de datos.

● Finalmente, desarrollar un plan amplio de preparación para violaciones para permitir la acción decisiva y evitar la parálisis operativa cuando ocurre una violación de datos.

Reconzco que el catálogo abruma un poco…. Sugiero comenzar por un evalúo de la situación de cada uno y de allí en más ver  que se puede hacer. Nos todos somos Citigroup…

7. Conclusiones

Me parece que si bien los abogados ayudamos a mitigar o incluso evitar los riesgos en que incurren nuestros clientes, no nos dedicamos a hacer lo mismo con los propios. Y quizás el mayor sea el de una amenza a la información de terceros que almacenamos. No estoy solo en esto, Chad Pinson, un director gerente de Stroz Friedberg, una empresa de seguridad informática con sede en Nueva York, dice que los estudios jurídicos no están haciendo lo suficiente. Y Seth Berman, director ejecutivo de  esa firma, piensa que los estudios jurídicos tendrán que prestar más atención a la seguridad informática. Dice: “La falta de abordaje de la seguridad en línea por parte de los estudios jurídicos  está dejando a los clientes cada vez más vulnerables a los ataques. Como custodios de la propiedad intelectual y de la información sensible comercial de los clientes, los estudios jurídicos son particularmente atractivos para los piratas informáticos”.

Y me parece que el factor que va a hacer cambiar esta situación no se encuentra en las convicciones internas del abogado, sino es una fuerza externa: sus clientes, que pueden encontrar reprochable la falta de preocupación y medidas concretas sobre la seguridad de los activos informáticos. Luego, si sufren daños como resultado de la violación de datos, tales como daños a su credibilidad como consecuencia de un robo de identidad o de la pérdida de fondos de cuentas bancarias, pueden presentar un reclamo por culpa o mala praxis.

Por otra parte, no estoy de acuerdo en recomendar las mismas medidas de protección en todos los casos. Cada uno es especial y depende del volumen y la sensibilidadad de la información almacenada,  de cuán capacitados están los recursos humanos de la firma,  de cuánta conciencia existe. Y de que equipos y sistemas  estamos hablando.

Lo más importante es concretar en hechos una actitud de cuidado y prudencia. La vieja imagen del “buen hombre de negocios” vueve  reflotar, aún en nuestro mundo digital. Sin duda la gran contención de la responsabilidad frente a terceros será esa antigua vara. Afrontar el daño reputacional y la ira de los clientes en fuga, expresada en los tribunales ( y repetida en los medios de comunicación) puede ser letal. Desde Panamá a Buenos Aires.