La Estrategia Nacional de Ciberseguridad pide formar ‘ciberabogados’
La figura es imprescindible para protegerse de los riesgos en la red
El pasado 12 de abril fue aprobada la Estrategia Nacional de Ciberseguridad (ENC) de 2019, que pretende garantizar el uso seguro y fiable del ciberespacio. Una de sus grandes novedades es que el texto reclama la creación de la figura del ciberabogado. Aunque no usa literalmente ese término, la ENC describe, en el bloque de medidas para implementar el Objetivo II de la Estrategia, la importancia de formar a los profesionales del derecho para que se conviertan en expertos en ciberseguridad y puedan, así, proteger los derechos y libertades de ciudadanos, Estados y empresas.
Precisamente, son estas últimas las que más interés muestran en este asunto: los problemas de ciberseguridad se sitúan a la cabeza del ranking de preocupaciones globales para las empresas, según el Barómetro de Riesgos de Allianz 2019. En este sentido, Álvaro Écija, socio director de Ecix Group, destaca el papel que desempeña el ciberabogado, que será el encargado de estudiar las vulnerabilidades de sus clientes y trazar un mapa de riesgos y responsabilidad a la hora de afrontar un ciberataque.
No obstante, sus habilidades deben ir más allá. La delincuencia a través de la red dibuja un complejo escenario legal donde el carácter extraterritorial del delito o la dificultad para rastrear al infractor plantean una serie de desafíos legales que obligan al ciberabogado a “transformar sus capacidades y mantener la mente en el espacio donde se produce el delito: internet”, asevera Écija.
Asesor legal
En el ámbito de la ciberseguridad en las empresas, “el rol principal que desempeña el ciberabogado es el de asesor legal”, indica Helena Pons-Charlet, directora del área jurídica de Microsoft Digital Crimes Unit. Así, por ejemplo, en ataques con ramsonware (virus que impide a los usuarios acceder a su sistema o archivos personales y exige a cambio el pago de un rescate), el abogado se encargará de aconsejar a la empresa sobre las forma de actuar legalmente frente a las demandas del atacante. Además, deberá notificar al regulador competente en cada caso, “y valorar si, además de eso, debe interponer una denuncia ante la policía”, subraya Pons-Charlet.
De decantarse por esta segunda opción, entra en juego un nuevo reto: recopilar pruebas que acrediten el ciberataque. Esto no solo se debe a la habilidad del hacker para borrar su rastro, sino que, en ocasiones, al verse atacadas, son las propias empresas las que toman medidas drásticas que implican la pérdida de las evidencias.
Para afrontar este reto, Écija destaca el valor de las habilidades digitales del abogado: “no tiene por qué ser programador, pero ha de entender la tecnología”. Por su parte, Pons-Charlet recomienda “mantener una estrecha relación con el departamento tecnológico de la empresa”. De esa forma, resulta más sencillo conservar pruebas digitales que puedan ser posteriormente presentadas a juicio, como un registro de entradas y salidas a los emails o dúplicas de las máquinas infectadas para llevarlas posteriormente ante un “forense digital” .
Otro de los desafíos de los ciberataques es su carácter extraterritorial: mientras la víctima se encuentra en España, el delincuente puede actuar desde Estados Unidos y el usuario que vende los datos robados en la dark web lo hace desde la India. “Este complejo escenario dificulta a las empresas el depurar responsabilidades y encontrar a los culpables”, resume Pons-Charlet. Para esquivar estas complicaciones, Microsoft suscribe partenariados público-privados para luchar contra la cibercriminalidad. No obstante, las empresas más pequeñas que no cuenten con estos recursos “se ven ante un reto mayor para encontrar al responsable”, concluye Pons-Charlet.
Prevención
Por su parte, Moisés Barrio, letrado del Consejo de Estado, hace hincapié en la prevención como método para combatir el cibercrimen. En esta línea, destaca que la estrategia del abogado “debe tener una clara dimensión técnica, no solo jurídica”. Esto es, implantar medidas de protección a través de herramientas tecnológicas como antivirus y sistemas de ciberseguridad y de detección de intrusos.
Para ello, el jurista aboga por equipos interdisciplinares donde los abogados y los expertos en ciberseguridad “trabajen codo con codo”.
Otras funciones del 'ciberabogado'
Protección de datos. Hoy en día, los datos son uno de los activos más importantes de las compañías, lo que los convierte en un blanco para los ciberataques. Para garantizar la seguridad de este bien intangible, el ciberabogado deberá, por un lado, elegir un buen proveedor de seguridad, elaborar un programa de compliance y supervisar que los empleados están concienciados en ciberseguridad (por ejemplo, mediante penetration test).
Ciberseguro. Por otro lado, el abogado debe asegurarse de que la empresa está cubierta por un buen ciberseguro. Estas pólizas están destinadas a brindar cobertura, principalmente financiera, en caso de que se produzca una ciberintrusión. Generalmente, también cubren otros aspectos, como pérdidas de información, servicio de recomendación y defensa ante multas derivadas de infracciones en materia de pérdida de datos.
Plan de acción. El ciberabogado también deberá elaborar un plan de acción (o response plan, por su nombre en inglés), que son guías orientativas sobre cómo actuar en caso de ciberataque. En su redacción, suele participar los departamentos de informática y comunicación, aunque también pueden colaborar otros sectores como el financiero (en caso de que el hacker pida un rescate) o el de recursos humanos (si el ataque viene de la propia empresa).