Los abogados ante los ciberataques

En Espa?a se gestionan a diario casi 400 incidentes de ciberseguridad. En el caso de los despachos de abogados, en 2016 se contabilizaron 70 incidentes por ransomware, programas inform¨¢ticos que infectan y bloquean los archivos y sistemas, exigiendo el pago de un rescate a cambio de liberarlos. Tambi¨¦n se detectaron 66 p¨¢ginas web de despachos con programas maliciosos inyectados, otras 158 hab¨ªan sido v¨ªctimas de una alteraci¨®n de su apariencia original, y 40 webs de bufetes alojaban phishing, seg¨²n datos del Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi), operado por el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Nacional para la Protecci¨®n de Infraestructuras Cr¨ªticas (CNPIC).

Los bufetes tambi¨¦n han sido v¨ªctimas de ciberataques que se han utilizado para sacar a la luz informaci¨®n confidencial de clientes, como sucedi¨® con los Papeles de Panam¨¢ o con Football Leaks, filtr¨¢ndose numerosa documentaci¨®n de personajes conocidos procedente de despachos. Adem¨¢s, los grandes ciberataques de nivel mundial como Wannacry y Petya tambi¨¦n se han cobrado v¨ªctimas entre las firmas legales. De hecho, en la lista de damnificados por Petya figuraba uno de los bufetes m¨¢s grandes del mundo, DLA Piper, que estuvo casi una semana paralizado, sin acceso a ordenadores, correos o tel¨¦fonos.

Con este panorama, la contrataci¨®n de ciberseguros va ganando adeptos. Seg¨²n asegura Carmen Segovia, responsable nacional de Ciber Riesgos en Aon Espa?a, ¡°hay un aumento de la contrataci¨®n de este tipo de p¨®lizas, sobre todo porque han sido muchas las empresas afectadas que no ten¨ªan cobertura¡±. De hecho, en el caso de los bufetes, la propia Mutualidad de la Abogac¨ªa est¨¢ estudiando con Aon, aseguradora que da cobertura actualmente a los abogados mutualistas, una propuesta para poder a?adir una p¨®liza para casos de ciberataques.

Y es que las p¨¦rdidas por estos incidentes pueden ser cuantiosas. En el caso de DLA Piper, algunas publicaciones se?alaron que el ataque le podr¨ªa haber costado millones de d¨®lares. No parece descabellado, teniendo en cuenta que, a nivel mundial, las compa?¨ªas pierden al a?o, de media, 2,3 millones como consecuencias de ciberataques o incidentes de seguridad, seg¨²n la Encuesta Mundial sobre el Estado de la Seguridad de la Informaci¨®n, de la consultora PwC.

Un portavoz de DLA Piper en Espa?a se?ala que la firma ¡°tiene suscritos varios seguros relacionados con este incidente¡±, pero no concreta m¨¢s. Respecto al coste financiero del ataque apunta que ¡°es demasiado pronto para saberlo¡± y subraya que ¡°la firma se ha centrado en restablecer los sistemas con total seguridad y lo m¨¢s r¨¢pidamente posible, para poder continuar prestando un servicio excelente a sus clientes¡±.

En todo caso, los costes son dif¨ªciles de calcular, como tambi¨¦n lo es cuantificar la cobertura de determinados riesgos. A las p¨¦rdidas derivadas de la necesidad de recuperar el acceso de nuevo a la informaci¨®n, habr¨ªa que sumar una serie de costes indirectos, de mayor cuant¨ªa y m¨¢s dif¨ªciles de reparar, como la p¨¦rdida de clientes, el da?o reputacional, la discontinuidad del negocio, las sanciones derivadas de fugas de datos o la responsabilidad civil de socios y directivos.

Carmen Segovia explica que los despachos se interesan por las p¨®lizas contra ciberataques porque les permite asegurar su responsabilidad legal frente a terceros derivada de un fallo de seguridad que pudiese comprometer informaci¨®n confidencial. Y explica que, en caso de sufrir una brecha de seguridad, la p¨®liza asume una serie de gastos, como los honorarios de inform¨¢tica forense, o incluso los de comunicaci¨®n, en caso de que el evento llegue a los medios, para evitar o minimizar el da?o a la imagen del bufete. Y, si se sufre una ciberextorsi¨®n, se garantizan los costes necesarios para poder gestionarla.

El dilema de las pymes

Seg¨²n se?ala Segovia, las principales firmas de abogados ya tienen contratada la cobertura ¡ªo est¨¢n en v¨ªas de hacerlo¡ª para todo este tipo de riesgos. Pero, ?qu¨¦ pasa con las firmas peque?as? Desde la corredur¨ªa de seguros Perea Grup, cuyos clientes son pymes, se?alan que muchas contin¨²an sin conocer hasta qu¨¦ punto estos riesgos pueden transferirse a una aseguradora. Y no s¨®lo ante amenazas externas, tambi¨¦n pueden ofrecer cobertura a errores u omisiones originadas dentro de la organizaci¨®n: ¡°El seguro puede cubrir el riesgo de que un empleado robe y haga p¨²blica informaci¨®n personal de los clientes o la posibilidad de que alguien adjunte por error informaci¨®n confidencial en un email¡±.

Pero los seguros no cubren todo, tambi¨¦n advierten de que se excluyen de la cobertura los actos delictivos, las conductas deliberadas realizadas por la sociedad o por determinados cargos, las reclamaciones derivadas de la obtenci¨®n de datos de forma il¨ªcita, las circunstancias ocurridas antes de la contrataci¨®n de la p¨®liza o el dolo, omisi¨®n o mala fe en lo declarado en el cuestionario de suscripci¨®n.

Los ataques son especialmente delicados para los abogados, ya que sobre sus espaldas recae numerosa normativa si no se respeta y protege el secreto profesional y la informaci¨®n de los clientes. El c¨®digo deontol¨®gico contempla hasta la inhabilitaci¨®n en caso de incumplimiento, la regulaci¨®n de protecci¨®n de datos impone multas e incluso el C¨®digo Penal tipifica el quebranto de la obligaci¨®n de guardar secreto profesional en su art¨ªculo 199.2, castig¨¢ndolo con penas de prisi¨®n de uno a cuatro a?os.