"El papelón de"… los bufetes de abogados: ¿por qué deben proteger la información de sus clientes?

Juan José Escobés, Fundador y CTO de SealPath.

En estas últimas semanas, Panamá está en boca de todos como consecuencia del escándalo de los denominados “Papeles de Panamá” que hace referencia a más de 11,5 millones de documentos (correos electrónicos y registros) del bufete panameño Mossack Fonseca que muestran cómo miles de personas ocultaron su patrimonio a través de sociedades offshore en paraísos fiscales.

Los documentos que han salido a la luz contienen información de más de 214.000 empresas "offshore" (opacas) que están haciendo tambalear a todos sus implicados entre los que se encuentran desde líderes internacionales como el presidente de Rusia, Vladimir Putin, el de Argentina, Mauricio Macri, hasta el actor Jackie Chan o el futbolista Leo Messi, entre una larga lista de personalidades del mundo de la política, la cultura, el deporte, la economía, la alta sociedad, etc.

España no iba a ser menos y también tenemos a ilustres implicados como Pedro Almodóvar, la Infanta Dña. Pilar de Borbón, el ya ex Ministro de Industria, José Manuel Soria, Imanol Arias, y así hasta un total de 1.200 sociedades, 558 accionistas, 166 clientes intermediarios y 89 beneficiarios con denominación de origen común: española.

El pasado 29 de Marzo el propio Wall Street Journal hizo público que las firmas de abogados Cravath y Weil Gotshal, entre otras, sufrieron ataques de hackers que consiguieron entrar en sus redes corporativas. Crain’s Chicago Business informó de que 48 firmas de abogados estaban entre los objetivos de un hacker ruso que estaba buscando información sobre acuerdos de fusiones y compras de empresas. Fue descubierto pidiendo ayuda a otros hackers para entrar en los sistemas de estas firmas.

En los últimos años, lo más habitual han sido los ataques a entidades bancarias para obtener números de tarjetas de crédito y direcciones de correo que luego pueden emplear en compras fraudulentas o para estafar a los clientes. Sin embargo, estos ataques más recientes a bufetes de abogados buscan tipos más sofisticados de información: información confidencial de clientes corporativos, que pueden incluir fusiones y adquisiciones de empresas todavía en negociaciones.

Probablemente relacionado con estos ataques, el FBI ha notificado recientemente a firmas de abogados que un grupo relacionado con el cibercrimen tiene como objetivo firmas de abogados internacionales con la intención de obtener información privada que venderían luego a delincuentes con experiencia en el mercado bursátil que sepan colocar estratégicamente ofertas de compra y venta y obtener beneficios importantes.
Estos ataques a estas firmas están elevando los niveles de preocupación entre los usuarios y por tanto, las empresas están sintiendo la presión de sus clientes para reforzar las defensas. Algunos clientes están incluso enviando sus propios auditores de seguridad a los bufetes para realizar inspecciones.

Las firmas de abogados poseen información sensible de sus clientes y son responsables de su control y custodia. Además, los bufetes de abogados necesitan tener el máximo de información de sus clientes para poder hacer bien su trabajo. Por ello, este tipo de empresas están obligadas a adoptar las tecnologías más avanzadas en relación a la seguridad de la información, si no quieren que todo el trabajo que realizan para sus clientes se venga abajo.

Aunque aplicado al mundo del deporte, se dice que “No hay mejor defensa que un buen ataque”, por eso, ya sea una firma de abogados o cualquier otro tipo de compañía, todas deben tener un sistema de seguridad que cubra, por lo menos, las necesidades más básicas. Los hackers saben y hacen todo lo posible para introducirse en los sistemas y, una vez dentro, nada hay que les impida llevarse toda la información que deseen. Es importante que cualquier estrategia de seguridad tenga un especial hincapié en el propio dato, en la propia información, que la seguridad vaya con los ficheros allá donde alguien, bueno o malo, se los quiera llevar. Por ello, todo tipo de ficheros e informaciones corporativas deben estar siempre vigiladas en cualquier momento y desde cualquier dispositivo, y para ello hacen falta soluciones del tipo IRM (Information Rights Management).