Enrique Ávila Gómez,
jefe del Área de Seguridad de la Información del Servicio de Innovación
Tecnológica y Seguridad de la Información de la Guardia Civil y
director de Centro nacional de Excelencia en Ciberseguridad, impartió el pasado
martes en la sala de conferencias del MICAP una charla sobre ciberseguridad en
el entorno jurídico, orientada a las necesidades de los despachos de abogados.
Ávila combina su formación técnica con una licenciatura en Derecho por la universidad Complutense ,
y es además colegiado no ejerciente del Ilustre Colegio de Abogados de Madrid.
Desde esta posición, como conocedor del mundo tecnológico y del mundo jurídico,
resalta que éste último “va muy por detrás de la tecnología”. Y recuerda a los
profesionales del Derecho que “el ciberespacio reúne dos características
fundamentales que lo convierten en un entorno singular. “La primera es que es
aterritorial, y por tanto en él los estados no ejercen como tales. Y la
segunda, que sus lapsos temporales son mucho más cortos”.
¿Qué
implicaciones tienen estas dos características para el ejercicio de la
abogacía?
Implican que estamos un poco fuera de cobertura y de
entendimiento de qué es el ciberespacio. No es una vida paralela, una vida virtual, sino una dimensión que se superpone
a nuestra propia vida. Y así lo tenemos que asumir, porque somos sociedades
hipertecnologizadas, dependemos cada vez
más de la tecnología. Y
por tanto, tenemos que saber cómo funciona.
Desde el punto de vista jurídico, y tengo experiencia en
este campo porque mi familia tiene un despacho de abogados propio, resulta
imprescindible establecer medias de seguridad adecuadas. En este sentido, el
despacho es como una PYME, pero además tiene requisitos adicionales de seguridad,
porque interviene una legislación específica. El cumplimiento normativo es
fundamental para un despacho de abogados. Y el ejercicio profesional requiere
que el perímetro de seguridad de la información y el cumplimiento normativos
sean conocidos y aplicados.
¿Qué
implica este cumplimiento normativo por parte de los despachos?
Por un lado, implica adquirir competencias tecnológicas; por otro, conocer y adquirir servicios
especializados. Debemos empezar a asumir que ese cumplimiento normativo es
obligatorio, porque además, hay una posible responsabilidad penal en caso de un
incumplimiento grave. Hay que poner unas medidas básicas para la Ley de Protección de Datos,
por supuesto. Y también para mantener la seguridad de la información. El
abogado tiene que saber qué es cifrar un archivo, qué es intercambiar
información de forma segura y proteger así su perímetro de información.
¿Existe
también para un despacho pequeño el riesgo de ser el objetivo de un ciber
ataque?
Todos somos objetivos de ciber ataque porque no somos capaces
de calcular por qué somos valiosos. Podemos ser valiosos por intermediación.
Por ejemplo, tal vez a través de nuestro despacho, ataquen a un despacho mayor
o a un cliente que tiene valor por un motivo que nosotros desconocemos. Y lo atacan a través de nosotros porque
tenemos mucha información que, además, es de alto valor.
Pensemos en términos de reputación, o de guerra económica,
como puede ser por ejemplo el caso de un competidor que quiere echar del
mercado a una empresa a la que nosotros representamos legalmente. Se puede dar
un ataque a través de nuestro despacho para averiguar cuál es su problemática,
si está con un ERE, simplemente para
conocer unas cuentas que están depositadas, o para hacer público un problema
jurídico grave que la empresa no quiere que trascienda. Ese tipo de cosas
pasan.
¿Qué
necesitan más los abogados, competencias tecnológicas o un adecuado
conocimiento de los servicios a los que pueden recurrir?
Las dos cosas. Suelo hacer la broma de que hay dos seres
humanos absolutamente peligrosos. Uno es un ingeniero que cree que por leer una
ley la comprende, y puede organizar un
follón grave, porque aunque lo crea, un ingeniero no es capaz de entender en
profundidad la epistemología de la ciencia jurídica. El otro ser humano
peligroso es el abogado que maneja un medio técnico, por supuesto con honrosas
excepciones. Tampoco entiende bien el mundo tecnológico, pero piensa que las categorías
conceptuales son iguales y se pueden trasladar directamente al ciberespacio. Y
también está absoluta y radicalmente
equivocado. Por lo tanto, el abogado
tiene que adquirir competencias y servicios. Las dos cosas.
¿A
qué tipo de servicios se refiere?
Servicios que protejan la información. Y para
esto, se requiere por ejemplo que toda la información esté cifrada. Hay algo que
siempre se debe de tener en cuenta, y es
que cuando pierdes el control físico sobre la información, deja de ser tuya y no
sabes qué va a pasar con ella.
Sería
algo así como dejarse una carpeta con documentos impresos en un lugar público.
Claro. Con la diferencia de que distribuir información en
soporte papel requiere más tiempo y recursos que distribuir un archivo electrónico.
Además, los documentos digitales tienen otras características. Por ejemplo, si no sabes qué son los meta
datos adjuntos de un fichero de Word que has creado, no sabes cuánto daño se
puede hacer a través de la lectura de esos meta datos, ya que permiten saber cuándo se creó, quién lo creó, de qué manera…
Y cuatro o cinco meta datos más que se incluyen por defecto.
Hubo en la administración pública un incidente grave de
tipo político porque se dejó en una sentencia de un órgano jurisdiccional se
incluyeron los meta datos de un fichero y se vio claramente que el archivo se
había redactado con posterioridad al anuncio de la sentencia, porque los meta
datos indicaban que ese archivo había sido tratado a posteriori, es decir,
haciendo trampas y cambiando elementos.
Con lo cual es susceptible de recurso y susceptible de convertirse en un
problema político. Si no sabes que eso se puede hacer, tienes un problema y necesitas
actualizar tus competencias.
Hablamos,
en este caso, de una información a la
que no es complicado acceder.
Para nada. Basta con pulsar el botón derecho del ratón
sobre el archivo y acceder a las propiedades del documento. Otro ejemplo puede
ser el de una fotografía que está geo posicionada, y por consiguiente transmite
información sobre dónde se ha hecho, en qué momento, con qué teléfono…. Y esto
puede provocar una situación jurídica en la que se aporta una prueba sin caer
en la cuenta de que contiene datos adjuntos. Y esto puede ser un problema,
porque tal vez lo que el abogado está tratando de demostrar se ve contrariado por la información contenida
en esos meta datos.
Y también se van a dar cambios importantes, motivados por
la tecnología, en determinadas
especialidades. Por ejemplo, muchos de los ingresos de los despachos de ámbito
penal que se derivan de asuntos relacionados con el tráfico, tales como
accidentes de tráfico, responsabilidad civil… Eso se va a acabar, porque no va
haber accidentes de tráfico cuando tengamos los coches autónomos, y con ellos
va a desaparecer una parte de la profesión.
¿Cree
que, en este contexto, es interesante
que un despacho incluya entre sus colaboradores a un experto en tecnología, por
ejemplo un ingeniero informático, parta poder anticiparse a este tipo de
situaciones?
Es todavía más complicado y más intenso. El conocimiento
en este mundo es pluridisciplinar. No son abogados, no son ingenieros… Son
científicos de datos, economistas, semánticos, filósofos… Ese conocimiento
pluridisciplinar requiere desarrollar algo que se denomina inteligencia
colectiva. Y dentro de esa inteligencia colectiva hay una rama que es la
inteligencia jurídica.
Sin embargo todos estos cambios van a producir muchas nuevas oportunidades para quien sepa
verlas. Por ejemplo, la responsabilidad civil del mal funcionamiento de un
algoritmo. Eso va a dar mucho juego. Por
ejemplo, los Smart Contracts o contratos inteligentes, que son algo
fundamental.
También la vigilancia tecnológica. Aunque el nombre pueda llevar a error, es
algo que se lleva haciendo desde hace bastante tiempo en los despachos más
poderosos. Se está legislando de forma muy farragosa a muchos niveles, y
mantener un conocimiento actualizado sobre todas las novedades es prácticamente
imposible, incluso dedicándote a ello de manera exclusiva.
Por ejemplo, en temas medioambientales, las competencias
son europeas, nacionales, autonómicas y locales, y no es fácil estar al tanto
de todas las novedades. Pero es posible
hacer uso de herramientas de inteligencia, normalmente plataformas de
vigilancia tecnológica, en las que uno se suscribe a un boletín que presenta resultados
exclusivamente de nuestros temas de interés. Y emplean algoritmos que aprenden de tus necesidades. Si no, como seres
humanos, ya no tenemos siquiera la
capacidad de estar al día. Hay demasiada información y estamos intoxicados por
ella. Lo denominan infoxicación. Estamos infoxicados, con lo cual no
podemos tomar decisiones.
Sin embargo, el abogado tiene que ser capaz de tomar
decisiones. Es lo principal de la profesión. Y para eso, tiene que obtener la
información cuando la necesitan. Por un lado, está la actividad hacia fuera, que es adquirir la información necesaria.
Y por otro, la actividad hacia adentro, que no es otra que proteger la propia
información. Tiene que tener protección, a nivel de perímetro. Y pare so el
abogado necesita aprender a negociar una buenas condiciones contractuales con
un proveedor de servicios. Si no sabe qué está negociando, no sabe qué
servicios le están dando en realidad, ni
es capaz de controlar la información. Y si no sabe cómo, tiene que contratar a
alguien que lo haga por él.
Esta
cantidad de nuevos conceptos y de información pueden llegar a resultar algo
abrumador. ¿Existen empresas que ofrecen servicios acordes a las necesidades de
los despachos?
Sí. Y son empresas jurídicas. Y también los propios
colegios están empezando emprender acciones que permitan a los colegiados
orientarse en este mundo. Y, a partir de ahí, un abogado tiene perfecta
capacidad para dilucidar qué es lo que necesita, aunque tal vez no tenga la
capacidad técnica. En cualquier caso, ¿Para qué se necesita a un abogado? Lo
contrata alguien que no sabe de leyes, para que defienda sus intereses. En ese
caso, el abogado es el técnico en esa materia. Y a la inversa, el abogado necesita
un técnico, o varios técnicos, o un colegio o una asociación profesional que le
indique qué necesidades técnicas tiene en materia de ciber seguridad.
En este sentido, el Ministerio de Justicia ha hecho una
cosa muy buena, aunque se critique mucho y
tenga problemas, con la implantación de LexNet. Tiene problemas, pero
permite crecer, es prospectiva de futuro. Y también la centralización de
servicios a través de la plataforma Office 365 e iniciativas similares. Eso ya
protege a los despachos. Ya no necesitan tener sus propios medios técnicos. Y
al igual que los abogados, lo están haciendo muchas empresas y muchos autónomos
en otros sectores. Esos servicios tienen sus niveles de protección y tienen un
cumplimiento normativo que el abogado puede controlar.
¿Qué
es, en su opinión, lo que más cuesta incorporar profesionalmente a los
abogados?
Por un lado, es importante entender que el mundo
analógico de los servicios en general y de los servicios jurídicos en
particular, va a desparecer. Cuando muera el último cliente que no sepa manejar
un ordenador se habrá acabado el mundo analógico en esta profesión, del mismo
modo que se va a terminar el mundo analógico entre los conductores de autobús.
El 70% de los puestos de trabajo, es una estimación que se maneja en los medios
de comunicación, va a desaparecer. Y esta transformación también va a afectar a
puestos intelectuales especializados. Hay
que adaptarse a esta situación, del mismo modo que lo hicieron en su día
los artesanos textiles que tuvieron que aprender a operar con telares
mecánicos.
El abogado tiene que adaptarse al mundo del siglo XXI, en
el que los contratos van a ser inteligentes y van a disparar cláusulas de forma
automática, y el abogado va a tener que saber por qué se dispara. Pero saber esto
responde a una lógica jurídica, no un tema técnico.
Creo, eso sí, que
el mundo jurídico es el que tiene más proyección en el siglo XXI, porque se
parte de cero en muchos aspectos y va a haber muchas cosas por hacer. Va a
haber que conceptualizar muchas cosas y trasladar mucha inteligencia jurídica
al mundo del ciberespacio. Pare ello se necesita, eso sí, profesionales
cualificados.
