Nuestro Socio, Francisco Martínez, ha participado en la segunda edición de “IndependienTech”, un programa de tecnología de El Independiente producido por Adio.fm y presentado por Jose Antonio Gelado, el primer podcaster español.
En esta edición, Francisco comparte valiosas perspectivas sobre los desafíos legales que enfrentan las empresas en materia de ciberseguridad.
P: ¿Cuáles son las amenazas o las consultas más frecuentes sobre estos temas que os llegan a vosotros al despacho?
R: Nosotros tenemos un abanico de servicios jurídicos amplio, porque tenemos en algunos casos clientes que son precisamente empresas proveedoras de servicios de ciberseguridad en un sentido muy amplio, porque como te puedes imaginar, ahí hay desde empresas que ofrecen los servicios de protección o de prevención o de evaluación de potenciales riesgos, hasta empresas que están muy especializadas en cosas muy concretas como el borrado seguro de información en dispositivos electrónicos, otras empresas que están en el mundo, por ejemplo de las criptomonedas, del blockchain, etcétera. Entonces, dentro de ese amplio abanico tendríamos, digamos, una parte de nuestros clientes lo que podríamos llamar los clientes corporativos.
Por otro lado, estarían quienes a título personal o también como empresas, han sufrido algún tipo de ciberataque en ese ámbito. Ciertamente también hay una gran casuística. Lo más frecuente, son víctimas de ransomware, ciberataques que han secuestrado todos o parte de los datos de una persona, de un profesional, de una empresa, de una familia, realmente. No tenemos por qué ir al ámbito macro, sino que podemos incluso ver este tipo de comportamientos delictivos en personas en su ámbito personal.
Y bueno, se han visto afectados por un ataque de esta naturaleza y quieren contratar servicios que van desde la posible reacción jurídica, es decir, denuncia, hasta también saber cómo se puede en términos jurídicos, evitar este tipo de ataques que causan un daño enorme. Tenemos también algunos clientes que lo que nos han pedido realmente es la parte de prevención. Cómo podemos, en términos insisto, jurídicos. Nosotros no proporcionamos la tecnología, pero cómo podemos prepararnos en términos de protocolos de actuación, de respuesta, incluso garantizando un uso, vamos a decir responsable de los dispositivos tecnológicos en la empresa, de tal manera que reduzcamos al mínimo posible los riesgos de que se produzcan este tipo de ataques.
También hemos tenido algún caso en el que hemos intervenido directamente como abogados de quienes han sido acusados o eventualmente tienen algún tipo de proceso en el ámbito penal o procedimiento administrativo sancionador, precisamente por temas relacionados con la ciberseguridad. De manera que hemos cubierto un poco, yo creo que un espectro muy amplio de servicios jurídicos en este campo.
P: ¿Qué hay que tener en cuenta como empresa o como profesional? En este caso, y teniendo en cuenta que sois abogados, efectivamente que no sois, digamos la policía o que no sois informáticos, ¿qué puede hacer una empresa para evitar verse con estas brechas de seguridad o con estos problemas?
R: Bueno, yo creo que al igual que las empresas toman muchas medidas de prevención en otros campos, también aquí hay toda una serie de conductas, vamos a llamarlas de “higiene digital”, que lógicamente no van a reducir nunca el riesgo a cero. Eso prácticamente es imposible en cualquier ámbito de la vida y sobre todo cuando estamos hablando de seguridad frente a ataques malintencionados de terceros. Pero yo creo que sí que hay una serie de pautas que pueden guiar a las empresas, por lo menos a reducir ese riesgo. Por un lado, todo lo que tenga que ver con la protección tecnológica, es decir, la implantación de buenos sistemas de detección de ataques de buenos antivirus, etcétera. Esa parte, insistimos, tiene que ver con la tecnología y creo que hay empresas magníficas que pueden dar una gran seguridad en este sentido, sin llegar nunca, como digo, a ser la seguridad absoluta.
Pero luego hay otra parte que tiene que ver con la conducta, porque al final suele ser el punto débil. Cómo nos relajamos en la forma en la que, por ejemplo, guardamos la información. No es lo mismo establecer una serie de prevenciones a la hora de acceder y de compartir información que hacerlo, digamos, sin ningún tipo de control, no el tipo de accesos que permitimos desde los dispositivos móviles o desde los ordenadores corporativos. Todo este tipo de cuestiones se pueden fijar y es muy recomendable hacerlo en protocolos internos de actuación de las empresas en una especie, vamos a llamarlo así de compliance y de ciberseguridad, de la misma manera que se hace ya con cierta normalidad en otros muchos campos en el ámbito de la protección de datos, por ejemplo, que está muy relacionado con los temas de ciberseguridad.
O sea que incluso en el ámbito por supuesto fiscal o en el ámbito incluso penal por parte de algunas empresas para reducir los posibles riesgos, bueno, pues aquí también hay un compliance de ciberseguridad que tiene que ver con las pautas que permitimos a nuestros empleados, nuestros compañeros o incluso en la relación con los clientes. Por ejemplo, evitar o desterrar el uso de correos electrónicos personales. Lógicamente, tener una política de contraseñas que sea robusta, donde a veces nos encontramos cosas muy sorprendentes pero que, insisto, las hacemos todos.
P: ¿Una empresa que invierta en formación en ciberseguridad puede evitar ser víctima de estos ataques o esto sólo se lo pueden permitir grandes empresas?
R: Lógicamente, no se puede esperar que todo el mundo tenga una formación muy, digamos, profunda en términos técnicos, pero sí que se conozca un poco el alcance de los riesgos y las medidas más elementales para prevenirlos y para saber cómo reaccionar o cómo responder ante ellos. Fíjate que en los últimos seis años, que es un periodo relativamente corto, las estafas informáticas han aumentado en un 380%, que es un incremento enorme. Y las víctimas de esas estafas, no nos engañemos, no son grandísimas corporaciones. Es que hay muchas víctimas a las cuales es un delito ser víctima de un delito informático. Les ha causado un perjuicio económico y de todo tipo, a veces irreparable, y que son empresarios individuales, o que son pequeños comercios o que son profesionales. Y en ese sentido yo creo que tenemos que ser conscientes de que nuestra vida cada día es más activa en el mundo digital, que además las herramientas tecnológicas son imprescindibles para no solo para el desarrollo de los negocios, sino también para la vida personal, pero que también implican otro tipo de riesgos y estamos permanentemente intercambiando información, accediendo a cuentas bancarias, desarrollando todo tipo de negocios online.
Todo eso es objeto de la llamada nueva delincuencia, que ya no es tan nueva, que resulta, por otra parte enormemente rentable para los delincuentes y frente a la cual hay que tomar algunas medidas y entre ellas, como muy bien dices, pues la formación muy elemental y la prevención. Incluso podríamos decir que hasta en el ámbito del seguro ya también hay productos que aseguran el ciber riesgo, porque tener una fuga masiva de datos o tener un ataque de ransomware que bloquea cualquier acceso a tus sistemas, a tu información, pues puede tener unas consecuencias verdaderamente terribles.
Entonces, yo creo que en eso la capacitación y la responsabilidad de algunas personas concretas dentro de cada organización que se ocupen de verificar que se toman las medidas precisas, son pasos que en el fondo no cuestan excesivamente y que pueden asegurarnos y prevenir daños mayores y disgustos mayores.
Pulsa aquí para escuchar el podcast en El Independiente.