El pasado miércoles
The Wall Street Journal confirmó lo que muchos expertos ya se temían
hace tiempo. Dos de los grandes despachos norteamericanos, Weil Gotshal &
Manges and Cravath y Swaine & Moore han sido víctimas de ciberataques. Los
hackers estaban supuestamente buscando datos sobre operaciones de M&A para
realizar insider trading como ya advertía el FBI en una notificación.
Los ataques a despachos, aunque muy pocas veces conocidas, son ya una
realidad y el FBI, en la
notificación 160304-001 fechada el 4 de Marzo advirtió que había
detectado un post en un foro donde se buscaban un hackers profesionales para
“conseguir acceso a las redes informáticas de varios despachos
internacionales”. Según el FB, la amenaza se concretaba sobre 12 firmas de
la lista de los 100 despachos más grandes de EEUU.
Mientras Cravath y Swaine & Moore ha admitido un ataque menor a su sistema
en verano pasado, Weil Gotshal & Manges no ha comentado aún la noticia
publicada en el WSJ. Las dos firmas sólo son la punta visible del iceberg,
manifiestan varios especialistas norteamericanos en ciberseguridad, ya que
la transparencia en estos asuntos es poca. Al igual que en otros sectores en
EEUU las firmas legales no tienen la obligación de comunicar a las
autoridades éste tipo de ataques.
Sin embargo el coste para las firmas puede ser enorme. Austin Berglas, ex
jefe del departamento de cibercrimen del FBI en Nueva York, comentaba a
American Lawyer, que los ataques son cada vez más frecuentes y algunos
secuestros de datos se han saldado con cifras de siete dígitos.
El coste medio de un ciberataque puede estar en 3,79 millones de dólares con
tendencia creciente, aseguraba un estudio del
Ponemon Institute. Los despachos están poco concienciados según los
expertos en ciberseguridad, lo que también confirma un
estudio de Citigroup publicadodo hace un año.
A raíz de éstos informes y noticias, los clientes, especialmente bancos y
compañías de seguros están imponiendo auditorias de seguridad a los
despachos que guardan datos de clientes suyos. Pero a la luz de los ataques
recientes, parece claro que los ataque no sólo se dirigen a datos sensibles
de clientes, sino también a datos relacionados con operaciones de fusiones,
donde el beneficio puede estar en una especulación en bolsa con información
privilegiada.
Dada la globalización y la presencia de todos los grandes despachos
internacionales en España, nuestras firmas no están al margen de éstos
ataques. Sin embargo la poca transparencia ha impedido que sepamos del nivel
de exposición a los ciberataques.
Francesc Muñoz, CIO, Cuatrecasas, Gonçalves Pereira, nos indica que “primero
habría que definir bien qué es un ataque, ya que hay muchos y de múltiples
tipos. Si hablamos de ciberataques silenciosos y selectivos, no existe mucha
transparencia en las empresas en general ya que nadie quiere revelar que ha
sido atacado. Los despachos no son ajenos a estas prácticas. Pero como hace
poco decía un experto, en cuanto a ciberseguridad las compañías se pueden
clasificar en dos grupos: las que ya han sufrido algún ataque y las
compañías que volverán a sufrirlo.”
“En los casos de secuestro que conozco la causa fue un phishing o bien el
uso de la misma contraseña en varios sitios, siendo hackeada la contraseña
en el sitio web más inseguro,” comenta Ignacio Zafra Jiménez, Director de
nubbius, compañía española especializado en soluciones en la nube. “Un
aspecto que no debemos desmerecer, son los ataques o pérdidas no
cibernéticos, por ejemplo cuando asaltan unas oficinas para robar un
portátil o la pérdida de un dispositivo,” añade Ignacio.
Cuando preguntamos sobre la conciencia de las firmas en España sobre el
peligro, Zafra declara: “Me temo que no lo suficiente, más bien por
desconocimiento, y sólo se acuerdan. Para un despacho la mejor solución en
mi opinión, es una solución en la nube como nubbius con Centros de Datos e
Infraestructura con certificados de seguridad y conforme a la legislación en
protección de datos. No deben de olvidar de tener los ordenadores
actualizados y separar el ocio de las herramientas de trabajo. Algunos
despachos se quedan en el cumplimento normativo, pero el tomar unas mínimas
de seguridad "técnicas" que no contempla la ley, es vital porque los
despachos son encargados de tratamiento de la información de sus clientes.”
Para el responsable de e Cuatrecasas, Francesc Muñoz, “hay amplio margen de
mejora en la concienciación y es cierto que en el caso de los despachos que
manejan información sensible de clientes dicho nivel de concienciación debe
ser superior. Esta necesidad de mejorar la concienciación debe emanar desde
arriba.”
Los puntos
vulnerables
Francesc Muñoz, CIO de Cuatrecasas tiene claro que “las personas somos el
eslabón más débil de la cadena. La tecnología no puede ni podrá ser nunca
suficiente para garantizar la seguridad. Es cierto que la tecnología tiene
que ayudarnos a hacer menos débil a la persona. Ámbitos como la biometría
(reconocimiento facial, del habla, etc.) harán más sencilla nuestra vida,
pero seguiremos siendo la principal puerta de entrada.”
Muñoz coincide con los expertos norteamericanos en ciberseguridad, que
exigen un mayor esfuerzo en la formación del personal para evitar
ciberataques.
El FBI recomienda en su notificación 160304-001:
·
Educar el personal en
adecuadas medidas de prevención y reacción a esquemas conocidos de
cibercrimen incluyendo la reacción de los empleados en su puesto de trabajo
·
Analizar enlaces que
contienen los eMails y no abrir documentos adjuntos en mails no solicitados
·
Inhabilitar los
macros y tener cuidado con los pop-up que piden habilitarlos.
Más información en:
http://info.trushieldinc.com/2015-annual-cyber-threat-intelligence-report
http://www.pwc.com/gx/en/economic-crime-survey/pdf/GlobalEconomicCrimeSurvey2016.pdf