En relación con la sensibilidad de los datos que protegen, los bufetes de abogados tienen una de los protocolos de seguridad de la información más laxos que se pueden encontrar.
Más de 100 bufetes de abogados han informado de violaciones de datos desde 2014, y el problema se está acelerando. Esto se debe a que los atacantes han aprendido que pueden obtener más valor de la información legal que una simple lista de tarjetas de crédito o contraseñas. Por ejemplo, se sabe que los atacantes atacan a empresas de fusiones y adquisiciones para obtener información sobre las próximas fusiones y luego realizar operaciones con información privilegiada basadas en esa información.
Aprenda cómo las nuevas leyes de privacidad de California afectan a su negocio. Descargue nuestra guía gratuita sobre la CCPA
Dado que los datos jurídicos son tan valiosos, el nivel de amenaza es tan alto y las defensas relativas son tan bajas, los bufetes de abogados necesitan ampliar su capacidad de defensa rápidamente. Aquí hay siete cosas que deben tener en cuenta.
1. Compromiso del correo electrónico empresarial
Si no hay código involucrado, ¿se puede llamar hackeo? El compromiso del correo electrónico empresarial (BEC) implica el hackeo de procesos corporativos en lugar de código. Un ataque puede consistir en una réplica exacta de una factura de un proveedor, una solicitud de información de un cliente de larga data o un correo electrónico convincente de su jefe pidiéndole que transfiera dinero a una cuenta numerada. En 2019, la mitad de todas las pérdidas monetarias debidas al cibercrimen -aproximadamente 1.770 millones de dólares- fueron atribuibles a BEC.
2. Robo de credenciales
Según la ABA, Microsoft Outlook cuenta como una herramienta de gestión de la práctica - y el 57 por ciento de los bufetes de abogados utilizan Outlook como su principal herramienta de gestión de la práctica. Desde un punto de vista práctico, esto significa que todos sus documentos más importantes pueden estar almacenados como archivos adjuntos en Outlook. Esto significa que los atacantes sólo tienen que robar las credenciales de inicio de sesión de Microsoft Outlook - generalmente a través de phishing - para crear una brecha muy grave.
3. Malware
Es sorprendente, pero hemos cubierto las dos causas más comunes de las violaciones de datos, y ambas se logran sin inyectar una sola línea de código malicioso en su sistema. Dicho esto, el malware diseñado para atacar a los bufetes de abogados es relativamente común, y los bufetes de abogados presentan una amplia superficie de ataque. Muchos programas maliciosos se lanzan a través de ataques de phishing, pero aparte de eso, el principal peligro que hay que tener en cuenta es...
4. Vulnerabilidades sin parchear
La gestión de parches puede ser un problema para cualquier empresa: de las 11.092 vulnerabilidades identificadas en el primer semestre de 2019, el 34% aún no habían sido parcheadas en agosto. Con los bufetes de abogados, el problema puede ser peor. Con poca financiación para los departamentos de TI, las tareas de mantenimiento rutinarias pueden quedar sin hacer durante años. En el caso de Mossack Fonseca -un ejemplo de libro de texto de una filtración de datos de un bufete de abogados-, las vulnerabilidades no parcheadas en WordPress y Drupal hicieron que los atacantes se salieran con la suya en los Papeles de Panamá con sorprendente facilidad.
5. Transmisión de datos insegura
Dado que a los atacantes les resulta tan fácil robar documentos legales aprovechando las credenciales de Microsoft Outlook, tendría sentido que los abogados eligieran un método de comunicación alternativo. Si la mayoría de los ataques de phishing llegan a través del correo electrónico, y si se transfieren los datos utilizando algo distinto al correo electrónico, entonces sería mucho más difícil caer en los intentos de phishing. Alternativas como el software Managed File Transfer facilitan las comunicaciones seguras y encriptadas.
6. Controles de acceso inseguros
Sólo el 68% de los despachos de abogados afirman utilizar contraseñas obligatorias, y sólo el 24% utilizan herramientas de gestión de contraseñas. Son cifras desalentadoras. Las contraseñas son una defensa contra los atacantes, pero no son una defensa fuerte. El uso de herramientas de gestión de contraseñas -junto con herramientas como la autenticación multifactor- puede reforzar enormemente la seguridad. El hecho de que muchos despachos de abogados no estén utilizando estas herramientas sugiere que sus contraseñas son más fáciles de descifrar, multiplicando el riesgo de cualquier otro vector de ataque.
7. Cumplimiento de la ABA
A raíz de los múltiples ciberataques contra bufetes de abogados, el Comité Permanente de Ética y Responsabilidad Profesional de la ABA ha publicado la Opinión Formal 483. En ella se establece que "los abogados deben emplear esfuerzos razonables para supervisar la tecnología y los recursos de la oficina conectados a Internet, las fuentes de datos externas y los proveedores externos que prestan servicios relacionados con los datos y el uso de los mismos". Si no toma medidas proactivas para supervisar y mitigar las violaciones de datos, su bufete se encontrará en problemas con el órgano de gobierno más poderoso de la ley.
Proteja su bufete de abogados con Progress MOVEit
En Progress proporcionamos un software de transferencia de archivos seguro que permite a los bufetes de abogados gestionar, enviar y recibir archivos sin el riesgo de que los intercepten los malos actores. Al centralizar, automatizar y encriptar sus mecanismos de transferencia de archivos, podrá mantener la seguridad de los datos legales tanto en movimiento como en reposo. Para obtener más información sobre cómo podemos ayudar a su empresa a proteger tanto a los usuarios, pruebe MOVEit Hoy!
Andrew Sanders
Writer on technology, information security, telecommunications, and more.