6 consejos para proteger la información jurídica en el teletrabajo

Muchas organizaciones han publicado lineamientos de referencia internacional sobre cómo proteger las bases de datos empresariales. Tal es el caso de Avast (de República Checa) y Kaspersky (de Rusia), dos de las firmas de ciberseguridad más importantes del mundo.

En Lemontech, hemos tomado como base esos lineamientos y toda nuestra experiencia en legaltech para desarrollar una serie de mejores prácticas muy potentes adaptadas al sector jurídico, y también adaptadas de manera especial al modelo de teletrabajo de las firmas.

A continuación, revisamos cada una de estas mejores prácticas.

1. Mantén actualizados los programas, los sistemas operativos y las apps

Los proveedores de soluciones informáticas realizan actualizaciones constantes sobre sus sistemas. Esto es porque de manera permanente están investigando y desarrollando formas de mejorar el rendimiento y la seguridad de dichas soluciones. Además, continuamente se descubren nuevos tipos de amenazas informáticas, por lo que los software son actualizados con los mecanismos necesarios para hacerle frente a esas nuevas amenazas.

Solo por citar un ejemplo, Microsoft lanza actualizaciones de seguridad para sus programas cada segundo martes de todos los meses. No instalar dichas actualizaciones hace que los software sean vulnerables, y esto sucede con cualquier tipo de recurso informático: el sistema operativo de tu computadora, el antivirus que utilizas, tus programas de Office, las  aplicaciones en tu celular, etc.

En cierto sentido, podemos decir que una actualización es una vacuna que otorga inmunidad ante una amenaza en concreto.

Veamos esta situación en algunos contextos reales:

• En enero de 2020 finalizó el soporte que Microsoft les brinda a los usuarios con el sistema operativo Windows 7. A partir de esa fecha, a falta de nuevas actualizaciones, todos los abogados que sigan utilizando ese sistema operativo tendrán una brecha de seguridad.
• En 2019 se descubrió una vulnerabilidad en WhatsApp, la cual era aprovechada para acceder a los datos de cualquier celular que tuviese la aplicación instalada. Posteriormente, Facebook lanzó una actualización de WhatsApp para solucionar esa brecha de seguridad.

Como verás, mantener actualizadas tus herramientas es de suma importancia. Sin embargo, también debes tener cuidado con el “tipo de actualización” o de aplicaciones que descargas. Los delincuentes informáticos crean apps infectadas que parecen originales, y también falsas “actualizaciones”, como por ejemplo una supuesta actualización de WhatsApp en 2019 que resultó ser un malware espía.

Para evitar descargar aplicaciones piratas o falsas actualizaciones, debes estar atento a elementos como los siguientes:

• Cuál es la empresa desarrolladora de la aplicación.
• Qué tipo de reviews tiene esa app en la tienda de descargas.
• Cuáles son las estadísticas de descargas.
• Qué permisos te pide la aplicación para ser instalada. Por ejemplo, si se trata de una app de calendario y te pide permiso para acceder a la cámara de tu celular es sospechoso, ¿no?

Sobre el último punto, te aconsejamos que reduzcas los permisos de todas las aplicaciones que tengas instaladas, aún sabiendo que son apps seguras y de “confianza”.

2. Ejecuta constantemente los distintos análisis del antivirus

Los antivirus son uno de tus mejores aliados para mantener la información jurídica protegida desde dos puntos de acción: la prevención y la reacción. Por un lado, el antivirus te ayuda a prevenir posibles incidentes y amenazas. Por otro lado, si tu dispositivo ya ha sido infectado, el antivirus te ayuda a reaccionar eficazmente para eliminar el programa malicioso y evitar un daño mayor.

Sin embargo, no es suficiente con instalar el antivirus y luego olvidarse de él. Es necesario que de manera periódica ejecutes sus distintos tipos de análisis disponibles, los cuales varían en función de la marca que utilices. Hay antivirus que ofrecen análisis estándar de virus, análisis de red, análisis de sitios web, análisis de correos electrónicos, etc.

Ahora bien, otro aspecto vital que debes tener en cuenta es que nunca ignores las alertas de tu antivirus. De acuerdo con el Reporte Anual de Ciberseguridad de Cisco, a nivel empresarial, el 44% de las alertas de seguridad no son analizadas por las organizaciones.

Recuerda que en el teletrabajo no cuentas con el apoyo directo del departamento de tecnología (conocido comúnmente como IT), en el caso de que tu firma de abogados tenga uno. Por tanto, tú pasas a ser el principal responsable de cuidar la información jurídica que gestionas vía online.

En el caso de los directivos y de otros tomadores de decisiones en las firmas de abogados, estos deben ser flexibles al invertir en nuevas tecnologías adecuadas para proteger a su personal en remoto. Por ejemplo, una de las recomendaciones que hace el FBI para la ciberseguridad es el uso de herramientas de monitorización de red y de detección de intrusos.

En esa misma línea, es importante elegir el antivirus adecuado según las necesidades de la firma. A modo general, existen 3 tipos de antivirus:

• Predeterminados, los que vienen instalados y asociados de manera predeterminada al sistema operativo.
• Frees (gratuitos), los que ofrecen solo las opciones básicas, ya que pueden ser utilizados sin costo alguno.
• Premiums, los que ofrecen opciones adicionales para una protección más potente e integral.

Dentro de los premiums están los antivirus de uso empresarial (los enterprise). Estos son especialmente diseñados para brindar seguridad del máximo nivel en entornos corporativos, incluso bajo modelos de teletrabajo.

En el caso de los gratuitos, puede que estos no lleguen a ser suficientes para proteger los activos de una firma de abogados desde todas las perspectivas posibles. Y, en el caso de los predeterminados, estos no suelen estar muy bien valorados en la industria. De hecho, el antivirus predeterminado de Microsoft, Windows Defender, fue el menos efectivo entre 22 antivirus puestos a prueba en una Evaluación de AV-Test.    

3. Evita usar los mismos dispositivos que utilizan otros miembros de tu familia

Trabajar desde casa no significa que debas utilizar los dispositivos domésticos. De hecho, no es nada recomendable hacerlo si vives con otras personas que también utilicen dichos dispositivos.

¿Por qué? Porque aun cuando seas un abogado con una excelente cultura de autoprotección, puede que tus hijos no la tengan, y muy seguramente así lo es. Los niños y los adolescentes son muy susceptibles a ser descuidados mientras navegan por internet. Cualquier brecha de seguridad que ellos generen en una computadora afectará sin duda no solo a tu trabajo, sino también a los activos de toda la firma.

Veamos algunos casos prácticos (y reales) para ilustrar mejor lo grave de este asunto:

• ¿Sabes si tu hijo descarga videojuegos piratas? Para que los juegos piratas funcionen, se debe descargar y ejecutar un archivo conocido como crack. Si es un buen crack, este archivo se limitará a modificar ciertos parámetros de la computadora para que el juego pueda correr. En cambio, si se trata de un crack malintencionado, puede secuestrar todos los datos de tu computadora.

 El problema es que hay demasiados hackers creando cracks falsos, que en realidad son malwares.

• ¿Sabes si tu hijo descarga series o películas televisivas? Bueno, hay ciberdelincuentes que aprovechan la popularidad de muchas series y películas para crear archivos infecciosos que se hacen pasar como un archivo de video. Estos archivos pueden parecer muy legítimos, incluyendo en sus nombres el título de series como Games of Thrones, La casa de papel o The Witcher.

Pero seamos sinceros, puede que a ti también te gusten las series y quieras descargar Suits, La ley de los audaces, una producción de Netflix sobre abogados corporativos, o que incluso quieras descargar una aplicación de puzles para estimular la mente de tu hijo durante la cuarentena. En ambos casos debes tener mucho cuidado, ya que, por ejemplo, hay muchas aplicaciones de puzles que están infectadas.

De cualquier manera, lo recomendable es que adquieras un nuevo dispositivo para que lo dediques única y exclusivamente al teletrabajo de la firma. Una vez en tus manos, debes optimizar la seguridad del nuevo dispositivo.      

4. Aprende a identificar correos y mensajes malintencionados

El principal factor que genera brechas de seguridad en las empresas son los malos hábitos online de los empleados. Estos se refieren a comportamientos que, por desconocimiento, caen en las trampas de muchos hackers que utilizan técnicas de ingeniería social para engañar y manipular a los usuarios.

Ante esta situación, es necesario que los abogados aprendan a identificar correos y mensajes móviles provenientes de un ciberdelincuente, ya que estos son los métodos favoritos para propagar archivos infectados de todo tipo. De hecho, según Computer Hoy, el 92% del malware a nivel mundial se distribuye a través de correos electrónicos.

¿Alguna vez has recibido un email que diga algo como “Has ganado 100.000 USD. Haz clic aquí para reclamarlos”? Bueno, al hacer clic en este enlace suele ocurrir una de las si-

guientes dos cosas:

• El usuario es redireccionado hacia una website infectada.
• O se descarga automáticamente un archivo de malware en el dispositivo.

Hace años, ese tipo de mensajes era muy popular. Sin embargo, hoy día los delincuentes informáticos han mejorado sus “carnadas”. Ahora, son mensajes mucho más realistas, naturales y convencedores. ¡Ese es el problema!

Esta situación se acentuó de manera muy grave en el contexto de la pandemia y la propagación del coronavirus. Como se trataba de un trending topic de escala mundial, los hackers sabían que todas las personas estaban muy susceptibles a aceptar y revisar cualquier contenido relacionado con ese tema, incluyendo los abogados.

Veamos algunos casos reales para darle un mejor contexto a esta problemática:

• La Organización Mundial de la Salud (OMS) emitió un comunicado informando que algunos ciberdelincuentes se hacen pasar por representantes de la OMS y envían correos electrónicos de phishing (suplantación de identidad) relacionados supuestamente con la COVID-19.
• El Servicio Secreto de Estados Unidos también emitió un comunicado advirtiendo sobre ciberdelincuentes que se hacen pasar por organizaciones médicas que ofrecen información sobre el coronavirus, pero en realidad se trata de correos de phishing.
• El Centro de Control y Prevención de Enfermedades (de Estados Unidos) informa la misma situación sobre hackers intentando hacer phishing a través de emails sobre el coronavirus. Lo delicado es que los mensajes realmente parecen oficiales. De hecho, en este caso los delincuentes han utilizado el dominio web “cdc-gov. org”, uno muy convincente considerando que el dominio oficial es “cdc.gov”.

Ante esta situación, la firma Kaspersky da las siguientes recomendaciones:

• Evitar abrir enlaces sospechosos que prometen contenidos exclusivos.
• Consultar fuentes oficiales para informarse sobre cualquier tema.
• Revisar la extensión de los archivos descargados antes de ejecutarlos. Aquellos con las extensiones “.exe” o “.lnk” son potencialmente peligrosos.

De igual modo, la firma Avast nos recomienda lo siguiente:

• Evitar sostener conversaciones online con personas desconocidas que te ofrecen algo de valor. Ese algo puede ser cualquier cosa: informes jurídicos, acceso a registros judiciales, programas gratuitos, premios monetarios, entradas para eventos, etc.
• Revisar la terminación de los dominios. Por ejemplo, hay dominios oficiales que terminan en “.com”, y los hackers pueden utilizar el nombre de la página exactamente igual pero con la terminación “.net”.
• Mantener los navegadores actualizados. Las empresas desarrolladoras de los navegadores suelen lanzar actualizaciones para hacer que estas herramientas sean cada vez más potentes al bloquear ciertas amenazas online. También, otra opción es que, al momento de gestionar información privada, utilices los navegadores seguros que proporcionan algunos antivirus.

Finalmente, la firma NortonLifeLock (antigua Symantec) nos aconseja ser cuidadosos con los archivos adjuntos en los emails que se abren y no visitar websites sospechosos.

Ten en cuenta que las comunicaciones fraudulentas pueden ser de cualquier tema. Por ejemplo, hay hackers que envían correos sobre la supuesta vulnerabilidad de tu contraseña. Además, ten en cuenta que estas amenazas no solo te pueden llegar vía email, sino también por SMS. Esto último se conoce como smishing. 

5. Gestiona la información confidencial solo por los canales adecuados

No envíes nunca información jurídica confidencial a través de Facebook, LinkedIn o similares. Con el apoyo del departamento de IT, la firma debe establecer canales de comunicación altamente seguros para el envío y la recepción de datos sensibles.

Nuevamente, veamos algunos casos reales al respecto:

• En 2016, Dropbox descubrió que tuvo una brecha de seguridad en el 2012, la cual colocó en riesgo el acceso a más de 68 millones de cuentas de usuario durante esos 4 años.
• En 2017, la seguridad de LinkedIn fue vulnerada y se produjo el robo de las contraseñas de más de 100 millones de cuentas de usuarios.
• En 2018, unos hackers aprovecharon una brecha de seguridad en Facebook que puso en riesgo la data de 50 millones de usuarios.
• En 2019, una nueva brecha de seguridad expuso varias bases de datos de Facebook que tenían registros de 419 millones de cuentas de usuarios.

Esto mismo ha sucedido, y seguirá sucediendo, con la mayoría de las plataformas online. Por ello, es de suma importancia que la información privada la manejes solo por los canales más seguros posibles.

Imagina que por no asumir las medidas de seguridad correctas, un hacker pueda tener acceso a tus documentos, contratos, acuerdos, relaciones financieras, etc. Esto es posible que ocurra, y no hace falta que tú seas la víctima directa del hackeo, puede ocurrir si las víctimas son precisamente las empresas como WhatsApp, Facebook, LinkedIn, entre otras.

En este punto, es importante destacar que no solo las plataformas por donde envías y recibes información deben ser de máxima seguridad, también lo debe ser la red de internet que utilizas.

Existe lo que se llama Virtual Private Network (VPN) o red privada virtual, un mecanismo imprescindible para todos en el equipo de teletrabajo. Una VPN es, en palabras sencillas, un canal muy seguro que funciona dentro de tu conexión de internet estándar. A través de dicho canal puede fluir la información confidencial sin problema alguno, y lo más interesante es que también puedes configurar una VPN para tu dispositivo móvil.

Así, aunque las redes domésticas son vulnerables por naturaleza, una VPN logra aumentar los niveles de seguridad.

6. Utiliza programas especializados del sector legaltech (preferiblemente)

El sector legaltech ha ido evolucionando de manera muy deprisa, y uno de los aspectos más interesantes de ello es que las herramientas para los abogados ya son desarrolladas teniendo en cuenta los más altos estándares de ciberseguridad, en función de las amenazas informáticas más comunes que tienen las firmas de abogados.

En este sentido, los software jurídicos, como CaseTracking, son capaces de brindar y proteger los datos, los documentos y los procesos que se gestionan a través de ellos. Por ejemplo, hay programas que permiten procesar todas las causas judiciales de manera online. Estos sistemas no poseen brechas de seguridad y además facilitan el teletrabajo de los abogados.

Un factor importante a tener en cuenta es que, según el gigante tecnológico IBM, el riesgo informático aumenta en un 50% cuando las soluciones que implementa una empresa son de proveedores diferentes.

Por tal razón, en Lemontech hemos desarrollado varias herramientas jurídicas que cumplen distintas funciones dentro de una firma de abogados, ideales para el teletrabajo. Dichas herramientas son compatibles entre sí y funcionan sobre una misma arquitectura informática, lo cual elimina ese 50% que menciona IBM.

De esta manera, al ser más productivos y al adoptar una cultura de buenas prácticas sobre la ciberseguridad, todos los abogados de la firma se convertirán en la principal propuesta de valor de la firma.