Cerca de 150 asistentes presenciales y otros muchos que se conectaron online a la I Jornada Ciberlegal, organizada por ‘Red Seguridad’ con la colaboración del Ilustre Colegio de Abogados de Madrid y la Fundación Borredá el 23 de marzo, pudieron ser testigos del estado de la situación, de las principales ciberamenazas y de las medidas de protección a implementar en materia de ciberseguridad en dicho sector. Un conglomerado de temas en los que reinó una idea que resume perfectamente el tratamiento de la ciberseguridad en todo el ámbito del Derecho: hay mucho camino por recorrer y mucho margen de mejora. El evento estuvo patrocinado por GMV, Ondata International, Procesia y Secure&IT.
Un ingente trabajo por delante. De esta manera se podría resumir, a muy grandes rasgos, la principal conclusión tras la celebración de la I Jornada Ciberlegal. No en vano, en este evento organizado por Red Seguridad con la colaboración del Ilustre Colegio de Abogados de Madrid y la Fundación Borredá, el 23 de marzo, se puso en evidencia la alarmante falta de concienciación en ciberseguridad en el sector legal, unido a un déficit categórico de profesionales especializados en esta materia.
La jornada comenzó con un mensaje de bienvenida de Eugenio Ribón Seisdedos, decano del Ilustre Colegio de Abogados de Madrid, quien aseguró que «el sector legal no es inmune a las ciberamenazas». De ahí que, según afirmó, «la protección de los datos, la privacidad de los clientes y la responsabilidad de establecer medidas de ciberseguridad recaigan en todos los profesionales del Derecho».
Estado de situación de la ciberseguridad en el sector legal
A continuación, la primera mesa redonda abordó el impacto y el estado de situación de la ciberseguridad en el sector legal de la mano de Alejandro Padín, responsable del Área de Economía del Dato, Privacidad y Ciberseguridad y socio de Garrigues; Antonio Pérez, consejero técnico del Centro Criptológico Nacional; Ángel Luis López Zaballos, Key Account Manager Airbus Cyber Programmes Spain; Jesús Yánez, socio responsable del Área de Ciberseguridad de Écija; y Yolanda Duro, directora de Red Seguridad, como moderadora.
Durante el coloquio, estos profesionales advirtieron a los presentes sobre «el tsunami que se le viene encima al sector legal» en materia de ciberseguridad, sobre todo con la llegada de la Directiva NIS 2, en la que muchos de los despachos de abogados, entre otras organizaciones jurídicas, pasarán a formar parte de la cadena de suministro de las entidades que serán nombradas esenciales e importantes tras su trasposición al ordenamiento jurídico español. Además, ante la evidente falta de talento, animaron a los profesionales del sector legal a especializarse en ciberseguridad debido al déficit de perfiles híbridos que aglutinan ambos mundos.
El impacto de las nuevas tecnologías
Eva Martínez, directora de la vertical de Servicios de Secure eSolutions de GMV, habló sobre las nuevas tecnologías que están más en boga en la actualidad, y que también afectan al sector legal. Fue el caso de la computación cuántica, de la inteligencia artificial y de la conectividad. «Ahora tenemos los activos en el correo electrónico, en el móvil… Por ello se necesitan más proveedores de ciberseguridad que ofrezcan servicios que ayuden en este gran reto», aseguró en este sentido.
No en vano, tal y como advirtió Martínez a los presentes, «la ciberdelincuencia también aprovecha todos estos avances». «De hecho», continuó, «es un negocio muy rentable que factura más que el narcotráfico, que está muy organizado y que tiene mucho presupuesto. De ahí que sea el momento para ocuparnos de la ciberseguridad», finalizó.
Riesgos y amenazas de ciberseguridad en el sector legal
Los riesgos y amenazas a los que se enfrenta el sector legal en materia de ciberseguridad fue el tema abordado en la segunda mesa redonda del evento. En concreto, el coloquio estuvo formado por Antonio Santos Pascual, representante de la Oficina de Coordinación de Ciberseguridad; Juan Eugenio Tordesillas, socio del Área de Gobierno Corporativo y Cumplimiento Normativo de Écija; María Luisa García Torres, profesora de Derecho Procesal Penal y jefa de Estudios de Derecho en la Universidad Alfonso X el Sabio; José Estévez, vicepresidente Ejecutivo Cremades & Calvo Sotelo; Paloma Llaneza, CEO de Razona Legal Tech; y Beatriz Saura, copresidenta de la Sección Compliance del Ilustre Colegio de Abogados de Madrid, como moderadora.
¿Quién no conoce un despacho de abogados que no ha sido atacado?, se preguntaron los ponentes
A lo largo del debate se afirmó con contundencia que los despachos de abogados son «un vector de ataque evidente». El motivo, que «la ciberseguridad puede llegar a ser muy mala» y el conocimiento «muy bajo». Cuestión por la cual sus integrantes destacaron su evidente margen de mejora. Eso sí, estos profesionales dejaron patente que el nivel de concienciación y preocupación del sector legal es cada vez mayor. ¿Quién no conoce un despacho de abogados que no ha sido atacado?, se preguntaron en este sentido. De ahí que la ciberseguridad, tal y como afirmaron, no sea hoy por hoy solamente una cuestión técnica, sino también jurídica.
Novedades normativas
Posteriormente, Sonia Martínez, directora de Servicios de Gobierno y Derecho de las TIC de Secure&IT, expuso cómo se encuentra el marco jurídico actual. Para ello, dio algunas pinceladas sobre las diferentes normativas que están «bajo la atención de todas las miradas» como la Directiva NIS 2, el Reglamento DORA, el Reglamento de Inteligencia Artificial o la Ley de Ciberresiliencia europea.
Ante tantas y distintas regulaciones, esta profesional recomendó que cada empresa debe implementar las medidas necesarias en función de sus riesgos y responsabilidades. «Todas estas normas concluyen en que se debe gobernar la ciberseguridad y tener una gestión de riesgo frente a las amenazas. En definitiva, hay que implantar el marco jurídico que mejor se adapte a nosotros y ser resilientes», completó.
Protección de datos y sector legal
El valor del dato fue el protagonista indiscutible de la tercera mesa redonda de la jornada, que contó con la participación de Carlos Balmisa García-Serrano, secretario general técnico del Colegio de Registradores de España; Enrique Ávila, director del Centro de Análisis y Prospectiva de la Guardia Civil; Rosa Lago Espejo-Saavedra, DPO de Mapfre; Amaya Aragón, socia en Auren Corporate; y Pedro Fernández-Villamea Alemán, abogado, como moderador.
Pedro Fernández-Villamea (abogado): «La seguridad de la información es la propia seguridad del siglo XXI»
A partir del argumento de que la seguridad de la información es la propia «seguridad del XXI», los ponentes abordaron el coloquio desde la perspectiva del sector público y sector privado, concluyendo que desde ambos ángulos «el dato está en el punto de mira» y «es una oportunidad para las empresas». En este sentido, explicaron que el valor de un dato se sostiene bajo dos condiciones: tiene que poder monetizarse y debe contar con todos los mecanismos pertinentes de protección. A este hilo, también recordaron los artículos 5.1f), 25 y 32 del Reglamento General de Protección de Datos, encargados de garantizar las medidas de seguridad e integridad de los datos, y de reciente actualidad tras conocerse las sanciones impuestas por la Agencia Española de Protección de Datos a Iberdrola y al Burgos Club de Fútbol por irregularidades en esta materia.
Ciberdelitos en España
El broche final de la jornada fue una mesa redonda sobre los principales ciberdelitos que sufre España y su conversión en el plano legal. Bajo la moderación de Rubén Martín de Pablos, presidente de la Sección de Abogados Penalistas del Ilustre Colegio de Abogados de Madrid; Alberto Redondo, jefe del Grupo de Ciberinteligencia Criminal de la Unidad Técnica de Policía Judicial de la Guardia Civil; Juan José García Chinarro, jefe del Grupo Operativo de la Comisaría General de Información de la Policía Nacional; Emilia Zaballos, abogada y presidenta de la Asociación de Afectados por Criptoestafas; y Alfredo Ruiz González, CEO de Ondata International, explicaron las funciones de sus organizaciones frente a estas amenazas.
Entre las conclusiones que dejaron los ponentes destacó el incremento de las estafas digitales, en especial tras la pandemia, que cambió la forma de relacionarnos y de comprar por la Red. Sin embargo, declararon que el ciberfraude es solo «la punta del iceberg» de los delitos que emplean ingeniería social para robar credenciales bancarias y datos personales. En este sentido, abogaron por la prevención para enfrentar la situación y matizaron que el ciberdelincuente «ya no es el hombre con capucha detrás de un ordenador», sino que estos delitos proceden de organizaciones criminales que funcionan como una empresa al uso.
Evidencias forenses
A su vez, Alfredo Ruiz desgranó el trabajo de Ondata International. En concreto, el CEO de esta empresa recopiló el esfuerzo necesario en la identificación de recursos para obtener evidencias forenses que luego serán empleadas en los procesos. En este contexto, explicó que las pruebas se obtienen desde el análisis de discos duros, smartphones o drones, entre otros, y una vez extraídas son custodiadas para atestiguar que no han sido modificadas o alteradas y poder ser presentadas como evidencia en una investigación.
Además, definió como «beneficioso» el uso de la inteligencia artificial en este campo, ya que cualquier recurso tecnológico que pueda ayudar en las investigaciones es bienvenido, como ya ocurrió recientemente con el threat intelligence.
Por último, Mabel Klimt, diputada del Ilustre Colegio de Abogados de Madrid; y Yolanda Duro, directora de Red Seguridad, clausuraron la jornada con el alegato de que «la ciberseguridad debe ser una prioridad en el sector legal».
