Los despachos de abogados y asesorías manejan grandes cantidades de datos, así como información confidencial y considerada sensible de sus clientes. Es por esta razón, que son un blanco fácil para los ciberdelincuentes. Éstos, lo que buscan, es poder robar esta información para pedir un rescate económico a cambio de su recuperación, no obstante, en la mayoría de los casos, acceder al pago de dicho rescate no garantiza que los ciberdelincuentes no la hagan pública.
Los despachos de abogados y asesorías manejan grandes cantidades de datos (financieros, fiscales, legales, personales…), así como información confidencial y considerada sensible de sus clientes. Es por esta razón, que son un blanco fácil para los ciberdelincuentes. Éstos, lo que buscan, es poder robar esta información para pedir un rescate económico a cambio de su recuperación, no obstante, en la mayoría de los casos, acceder al pago de dicho rescate no garantiza que los ciberdelincuentes no la hagan pública.
La digitalización de expedientes, información y documentación burocrática ha aumentado considerablemente en los últimos diez años. El uso de la red para rellenar y enviar información confidencial o clasificada de sensible, es cada vez más frecuente en los despachos, asesorías, gestorías… Razón por la cual, invertir en ciberseguridad se vuelve imprescindible y casi obligatorio, sobre todo para cumplir con políticas como la RGPD (Reglamento General de Protección de Datos).
La falta de inversión, así como, la carencia de estrategias de ciberseguridad y contar con la ayuda de profesionales en la materia, vuelve a los flujos de trabajos utilizados por los despachos y asesorías un objetivo fácil para el robo de información.
A modo de resumen, estas serían algunas de las principales problemáticas de los despachos de abogados y asesorías a la hora de garantizar la seguridad de los datos e información:
Falta de conocimientos técnicos: La falta de conocimientos técnicos no sólo puede ser la causa principal de la entrada de malware en un despacho o asesoría. Sino también puede provocar una mala gestión en los procedimientos de seguridad, así como en las políticas internas establecidas. Además de una mala actuación en caso de ciberataque.
Tiempos ajustados: Los despachos y asesorías a menudo trabajan bajo plazos ajustados, lo que puede llevar a la falta de tiempo para implementar medidas adecuadas de ciberseguridad. Esto podría suponer que se aplazaran actualizaciones de software importantes, una falta de capacitación en seguridad y una falta de tiempo para evaluar adecuadamente las amenazas.
Terceras personas involucradas: Los despachos y asesorías a menudo comparten información confidencial con terceros, como por ejemplo, proveedores de software de contabilidad o sistemas de gestión, por eso es de suma importancia y responsabilidad, proteger estos datos. Para ello, el cliente tiene que estar bien informado sobre cómo serán tratados sus datos y los terceros involucrados, deben saber exactamente cómo deben tratar estos datos. La falta de experiencia o personal adecuado que pueda hacerse cargo de esta parte y garantizar el nivel de seguridad óptimo, puede provocar un desastre de ciberseguridad.
Carencia de personal cualificado: Encontrar departamentos técnicos o de ciberseguridad dentro de un despacho o asesoría, sobre todo, en despachos pequeños, no es muy habitual, así como, tampoco, la contratación de un partner externo. Esto, provoca que a veces, no se tomen las medidas de seguridad adecuadas ni se establezca una estrategia de ciberseguridad ni políticas de actuación como es debido, incumpliendo leyes y normativas que pueden conllevar sanciones financieras y legales.
Conocidas las problemáticas, ¿qué tipo de ciberataques son los más frecuentes provocados por estas carencias?
El 25% de los usuarios utilizan la misma contraseña para todas sus cuentas, facilitando que los ciberdelincuentes puedan obtener acceso a múltiples cuentas para robar información.
La carencia de plataformas gestoras de contraseñas es uno de los principales problemas, no solo en los despachos de abogados o asesorías, sino en un gran número de empresas.
Además, la falta de activación de la autenticación multifactor o de dos factores (2FA), facilita el acceso a cuentas de terceros no autorizados, puesto que no recibes ninguna alerta de intento de inicio de sesión desde otro dispositivo o país.
El phishing es una de las amenazas más utilizadas por los ciberdelincuentes a la hora de lanzar sus ataques debido a que el porcentaje de éxito es elevado. Los ataques de phishing suelen ir acompañados de la suplantación de identidad, es decir, envían mensajes haciéndose pasar por una entidad bancaria, el director del despacho, etc, invitando al receptor a que clique a un enlace o se descargue un archivo malicioso.
El phishing es efectivo a consecuencia de la falta de información, concienciación y educación de los empleados para detectar a tiempo este tipo de amenazas.
El ransomware es un tipo de malware que impide el acceso a tu información y amenaza con dejar inaccesibles tus archivos en caso de que no accedas a pagar el rescate solicitado.
Se trata de un tipo de malware que consiste en el cifrado de los documentos e información de sus víctimas, con el fin de bloquearlos para impedir que el usuario acceda a sus ficheros hasta recibir una compensación económica para su liberación.
Instalación de firewalls y antivirus (recomendado el XDR de Endpoint)
Softwares, herramientas y aplicaciones siempre actualizadas. En este artículo explicamos la importancia de las actualizaciones.
Utilización de VPN para acceso a la red. Evita conectarte en redes públicas
Realiza copias de seguridad periódicas de todos tus sistemas, datos e información.
Establece políticas de correo electrónico seguras.
Implementa medidas de seguridad en la nube.
Formación de los empleados en ciberseguridad.
Utiliza gestores de contraseñas.
Vigila el control de accesos a la información dentro del despacho o asesoría.
Imprescindible, tener un plan de respuesta a incidentes.
Realiza auditorías de seguridad informática periódicas.
¿No sabes cómo cumplir con estos requisitos o establecer estas medidas en tu despacho o asesoría? Desde ESED te ayudamos. Puedes contactar con nosotros en el siguiente enlace, o solicitar un análisis gratuito de tu sitio para ver su nivel de ciberseguridad.