Guía para despachos pequeños y

profesionales juristas autónomos

Nº 21
La inexcusable cuestión
de la Ciberseguridad
en el despacho y cómo
[empezar a] darle
respuesta
NOVIEMBRE 2021
 Guía para despachos pequeños y
profesionales juristas autónomos

Nº 21
La inexcusable cuestión de la
Ciberseguridad en el despacho y cómo
[empezar a] darle respuesta
NOVIEMBRE 2021

Miguel García-Menéndez
CEO, Castroalonso LET

1. “Lo digital” lo permea todo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Sumario

2. El caso Esofitec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3. Nada es gratis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4. Eludir la fragilidad digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4.1. Fijar el tono . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.2. Dotarse de una política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.3. Asignar responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.4. Adoptar buenas prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.5. Identificar las joyas de la corona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.6. Identificar debilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.7. Identificar amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.8. Asignar un presupuesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
 Guía para despachos pequeños y profesionales
juristas autónomos

Nº 21
La inexcusable cuestión de la
Ciberseguridad en el despacho y cómo
[empezar a] darle respuesta
NOVIEMBRE 2021

Thomson Reuters te presenta la ‘Guía para despachos pequeños y

profesionales juristas autónomos’
En su calidad de empresas de servicios, los despachos de abogados tienen una idiosincrasia
propia con indiferencia de su tamaño. Además de su faceta de prestadores de servicios jurídicos, el
despacho no deja de ser una empresa. Esta doble faceta genera no pocas dificultades de gestión
a aquellas firmas de pequeño tamaño en la que sus titulares deben asumir todos los roles. Todo
ello con la dificultad añadida de mantener una ventaja competitiva, tanto con respecto al resto de
abogados autónomos como a firmas de mayor tamaño.
El abogado autónomo representa nada menos que el 70 % del sector, lo que, en palabras del
abogado Raúl Ochoa Marco, supone que sean “el músculo de la abogacía”. Thomson Reuters líder
en soluciones para el sector de la abogacía, lanza la Guía para despachos pequeños y abogados
autónomos, para que conozcas de primera mano las tendencias que brinda el mundo digital a esta
profesión, aprenderás nuevas técnicas de práctica jurídica que poder incluir en el ejercicio diario y
estarás al día en materia jurídica aplicable al ejercicio profesional.
La transformación digital, una necesidad para los despachos de abogados
La ventaja competitiva a la que hacíamos referencia viene determinada en gran medida por la
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en

implementación de herramientas de nueva generación, que permiten a los despachos de abogados

ser más eficientes, ahorrando tiempo y gastos. Thomson Reuters es el líder tecnológico que te
ayudará a crecer y transformar tu despacho de abogados con una gama de soluciones tecnológicas
seguras e inteligentes, accesibles desde cualquier lugar de manera sencilla, permitiéndote ofrecer
un servicio competitivo y rentable.
Queremos que optimices tu despacho y te conviertas en el abogado del futuro.
No te pierdas ni un número, ¡¡y conviértete en abogado 4.0 para hacer crecer tu negocio!!

3
 +
Aranzadi One
incluye más de
+ 12.000 formularios
por solo 110 € al mes
A R A N Z A D I O N E T E LO P O N E FÁC I L , M U Y FÁC I L

ARANZADI ONE. Te ayuda a mejorar tus escritos poniendo a tu disposición miles

de formularios que te ayudarán en tu día a día. Formularios sencillos para lleva
a cabo las tareas de trámite necesarias para la mejor gestión de tus asuntos.

Beneficios:
 Más de 12.000 formularios a tu disposición.
 Organizados por materias para facilitar la gestión: Civil, Contencioso-Administrativo, Penal,
Social, Tributario.
 Máximo nivel de análisis jurídico.
 Legislación, jurisprudencia y bibliografía relacionada.
 Integración en su totalidad con los expedientes para permitirte completar los formularios
partiendo de los datos de tus asuntos.
 Podrás hacer que los formularios formen parte de una plantilla de Word para crear tus
escritos futuros en un tiempo récord.
 Los Formularios procesales incluyen un sencillo gráfico de las fases del proceso en que
pueden usarse, indicando tanto la fase concreta en que aplica como la posibilidad de acceder
a otros Formularios que aplican a la misma fase.

SOLICITAR INFO
https://www.thomsonreuters.es
atencionclientes@thomsonreuters.com
 1. “Lo digital” lo
permea todo
Basta un rápido vistazo a las últimas portadas de
esta colección para advertir que, una tras otra,
comparten el rasgo común de mostrar algún
tipo de dispositivo digital, ya sean ordenadores,
teléfonos, tabletas o afines. Sí, es cierto que
estas guías tratan, precisamente, de acercarle
las tendencias que brinda el mundo digital a la
profesión; pero no lo es menos afirmar que los
creativos a cargo del diseño de la publicación no
han hecho sino reflejar una realidad que describe
el panorama actual: uno en el que “lo digital”
lo permea todo y al que no son ajenos quienes
desarrollan su actividad profesional en el ámbito
jurídico.
Las guías publicadas
hasta ahora
recogen la idea,
generalmente
aceptada, de lo
saludable que puede
resultar para los
despachos subirse
al carro de la vigente
transformación, de
naturaleza digital.
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en
5
Precisamente, las guías publicadas hasta
ahora recogen la idea, generalmente aceptada,
de lo saludable que puede resultar para los
despachos subirse al carro de la vigente
transformación, de naturaleza digital, de la que
el mundo está siendo testigo. Y ello, por cuanto
aquella viene a contribuir a una optimización
de recursos y procesos, una mayor eficiencia
en la prestación de servicios y, en suma, una
permanente aportación de valor, para quien
apuesta por adherirse a ella.
En ese sentido, la adopción de nuevas
técnicas de práctica jurídica y de soluciones
informáticas de soporte al ejercicio profesional
de los especialistas del Derecho -las llamadas
“tecnologías jurídicas”, de la expresión inglesa
legaltech- ha supuesto toda una revolución en
la actividad diaria de las firmas que operan en
el sector. Revolución que, lejos de impactar
únicamente sobre las grandes corporaciones
o los despachos multinacionales, ha hecho
patente la aplicabilidad universal de las citadas
tecnologías, situando a los miembros de los
despachos pequeños y a los profesionales
autónomos como sus verdaderos beneficiarios,
lo que constituye para ellos una clara ventaja
competitiva.
 2. El caso Esofitec
En la medianoche del pasado 17 de febrero del
presente año los datos custodiados por la firma
Esofitec, consultora tecnológica especializada en
la prestación de servicios informáticos a terceros,
empezaron a ser objeto de un tratamiento un
tanto ‘peculiar’. En circunstancias normales,
a esas horas deberían haber comenzado a
ejecutarse los procedimientos automáticos
encargados de realizar las copias -de esos
mismos datos- que habrían de garantizar su
futura recuperación en caso de necesidad. Sin
embargo, la realidad aquella noche fue otra bien
distinta…
La empresa leridana, que ofrecía a su vez sus
servicios a través de la plataforma informática
“e-Nube” operada por una subsidiaria del
grupo Abast, especializado en la gestión de
centros de datos, estaba siendo víctima de una
ciberextorsión. Los datos bajo responsabilidad
de Esofitec no estaban siendo copiados,
como habría sido lo esperado; estaban siendo
‘secuestrados’.
* *
El secuestro de
datos es una de
las principales
amenazas del
panorama digital
actual.
El secuestro de datos es una de las principales
amenazas del panorama digital actual. En su
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en
variante más básica, tras obtener el acceso de
forma fraudulenta a un determinado sistema
de información o infraestructura informática, el
secuestrador cifrará con una clave secreta todos
los datos presentes en la citada infraestructura,
dejándolos inaccesibles. La recuperación -el
acceso a la clave que permitirá descifrarlos-
será posible, solo, previo pago de un rescate,
6
habitualmente en criptodivisas y a través de
mecanismos localizados en la llamada Internet
oscura -aquella no accesible mediante los
navegadores/buscadores habituales-.
Hoy este “modus operandi” ya ha sido incluso
superado con acciones dañinas adicionales,
como el soborno a empleados de la organización
objetivo para que le faciliten al “secuestrador” el
acceso inicial al sistema o infraestructura [bajo
la promesa de percibir un porcentaje del rescate
que habrá de pagar su organización], como la
amenaza de robo -y posterior venta- de los datos
secuestrados, o la amenaza de divulgación de
los mismos, etc.
La recomendación
pasará siempre por
disponer de una
copia de respaldo
de los datos de la
organización, que
permita recuperar
el estado de las
operaciones previo al
incidente.
Llegados a este punto, la recomendación
pasará siempre por disponer de una copia de
respaldo de los datos de la organización, que
permita recuperar el estado de las operaciones
previo al incidente. Y, en todo caso, no pagar.
Los últimos estudios, como el recientemente
publicado Cyber Insurance: A Hard Reset, de la
firma británica Howden, señalan que en hasta
un 40% de los casos la realización del pago no
ha garantizado la recuperación inmediata de
la información secuestrada, bien porque los
secuestradores, finalmente, no han facilitado
la clave o bien porque han exigido algún pago
adicional antes de facilitarla.
* *
 Hasta tres
centenares de
pequeños despachos
y profesionales
(asesorías, gestorías,
bufetes, graduados
sociales, etc.).
El impacto del cibersabotaje a los sistemas
de Esofitec no iba a ser despreciable. Decenas
-se habla de hasta tres centenares en Aragón,
Cataluña y Baleares- de pequeños despachos
y profesionales (asesorías, gestorías, bufetes,
graduados sociales, etc.), todos ellos clientes
de Esofitec, fueron expulsados repentina
y bruscamente de la Era Digital, tras verse
desprendidos de su principal patrimonio
empresarial: los datos (expedientes, informes
y todo tipo de documentación) de sus clientes,
hasta entonces albergados en la “nube” de la
firma leridana.
A la imposibilidad de trabajar en condiciones
normales, que se extendió durante las semanas
posteriores al incidente, con una vuelta, casi,
al lápiz y al papel en la confección de nóminas,
impuestos, facturas o informes contables, entre
otros muchos trámites, se sumó la preocupación
por el destino incierto que podían haber sufrido
los datos de los propios clientes, quienes se
convirtieron en las víctimas, en última instancia,
del secuestro de datos ocurrido en Esofitec.
Fueron expulsados
repentina y
bruscamente de la
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en
Era Digital, tras verse
desprendidos de su
principal patrimonio
empresarial: los
datos.
7
3. Nada es gratis
Como se ha señalado, actualmente se vive
un momento de oportunidad en el que la
adopción de ciertas tecnologías de apoyo al
ejercicio profesional permitirá obtener un valor
diferencial (al menos temporalmente, hasta que
se conviertan en regla general dentro del sector).
Consecuentemente, la urgencia por alcanzar,
y mantener, esa ventaja competitiva en un
mercado cada vez más disputado provoca que
la transición de lo analógico a lo digital se haga
cada vez más acuciante.
En ese contexto de aceleración digital -paso
acelerado hacia lo digital-, casos como el de
Esofitec vienen a ofrecer una perspectiva bien
distinta, complementaria y, en todo caso, realista
de las bondades del proceso de transformación
digital. Se trata de una perspectiva en la que
parece apreciarse el hecho de que nada en
gratis y que las indudables ventajas del abrazo
a “lo digital” se ven acompañadas de una serie
de amenazas que marcarán una determinada
fragilidad en el proceso.
Las indudables
ventajas del abrazo
a “lo digital” se
ven acompañadas
de una serie de
amenazas que
marcarán una
determinada
fragilidad en el
proceso.
Cabría pensar en la metáfora del gigante
con pies de barro a la hora de interpretar
esa fragilidad digital de la que adolecen las
organizaciones actuales y que hace que todas
ellas -independientemente de su tamaño- sean
susceptibles de sufrir cualquier tipo de incidente,
 con origen en “lo digital”, que pueda perturbar
el ejercicio de su actividad (más allá de llegar, 4. Eludir la fragilidad
incluso, a poder causar daño al patrimonio, al
medioambiente y/o a las personas -tal vez no en
digital
un despacho de abogados; pero sí en un entorno Lo señalado hasta este punto no pretende
fabril, por poner un ejemplo-) y del que no inquietarle, sino, simplemente, abrirle los ojos.
siempre existe conciencia. ¡No se es consciente Se trata únicamente de que dé por descontado
de los peligros que amenazan la transición que habrá de emprender su viaje a “lo digital” en
a lo digital, por regla general, hasta que es compañía de una, hasta ahora, probablemente
demasiado tarde! desconocida compañera de viaje: la fragilidad
digital o, más correctamente, las medidas que le
Como le ocurre al gigante, también las
ayudarán a mitigarla -por simplicidad, adóptese
aparentemente robustas -sobre todo para
el término más familiar “ciberseguridad”-.
el profano- infraestructuras informáticas
presentan puntos de debilidad que,
aprovechados voluntaria o involuntariamente Es un viaje, un
-aquí la naturaleza socio-técnica de lo digital
se hace palpable-, provocan su desplome,
proceso continuado
con consecuencias variadas, y en ocasiones en el tiempo que
irreparables, pero que confluyen en una
de carácter genérico y común a todas las evolucionará con
situaciones de fragilidad digital manifiesta: la
erosión -parcial, al menos- del valor generado
las necesidades,
hasta ese momento como fruto de la actividad también cambiantes,
de la organización.
de su despacho
En el contexto descrito de balanceo entre los
beneficios y los perjuicios del paso a lo digital, y a en lo relativo a
modo de corolario, resultaría oportuno plantear
la siguiente reflexión: “la transformación digital
la protección de
es una necesidad [urgente] para los despachos; sus activos de
la ciberseguridad es una obligación inexcusable”.
Una ciberseguridad cuya razón de ser se información.
encuentra, precisamente, en el hecho de ponerle
La ciberseguridad -la adopción de medidas
freno a la erosión del valor generado por las
de ciberseguridad- en su pequeño despacho
organizaciones, derivada de su presencia en el
o en su actividad ordinaria como profesional
espacio digital.
jurídico autónomo, como ocurre con el propio
proceso digitalizador, es un viaje, un proceso
La transformación continuado en el tiempo que evolucionará
digital es una con las necesidades, también cambiantes, de
su despacho en lo relativo a la protección de
necesidad [urgente] sus activos de información. Como todo viaje,
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en

resultará conveniente emprenderlo pertrechado

para los despachos; de las herramientas básicas fundamentales. Una
la ciberseguridad brújula podría ser una buena ayuda durante el
recorrido del itinerario que Ud. tiene previsto.
es una obligación A continuación, los subapartados que siguen
inexcusable. pretenden ofrecerle, precisamente eso: una
brújula (una guía) que le ayude a avanzar hacia

8
 la meta última de establecer un marco de trabajo
(incluidos hábitos, cultura, etc.), dentro de su
despacho, en el que pueda moverse con unas
garantías mínimas de [cíber] seguridad.
4.1. Fijar el tono
¡Es su despacho (o es su actividad, si Ud. es
un autónomo)! Es, por tanto, a Ud. a quien
corresponde tomar conciencia de que la
ciberseguridad -los problemas ligados a ella-
ha de formar parte de su agenda; y es también
a Ud. a quien corresponde inicialmente tomar
posición sobre la postura que Ud. mismo y
sus colaboradores habrán de adoptar, en esta
materia, en el seno de su despacho.
En ningún caso se tratará de hacer de Ud.
un tecnólogo, ni mucho menos, un avezado
especialista en ciberseguridad. Simplemente,
comience por tomar conciencia de que la
ciberseguridad es un verdadero problema, del
que nadie está libre.
Simplemente,
comience por tomar
conciencia de que la
ciberseguridad es un
verdadero problema,
del que nadie está
libre.
4.2. Dotarse de una política
Formalizar (redactar) una declaración política
sobre su posición en materia de ciberseguridad
será la mejor forma de materializar esa
el despacho y cómo [empezar a] darle respuesta
fijación de tono al que se hacía referencia con
21. La inexcusable cuestión de la Ciberseguridad en
anterioridad.
Esa declaración política de partida podrá ir
acompañada posteriormente por el desarrollo de
normas más específicas, procedimientos, planes
concretos, etc.
Se tratará, en todo caso, de plantear una base
documental liviana (por ejemplo, su declaración
9
política sobre la ciberseguridad en su despacho
podría ocupar apenas media cuartilla). Ud., sin
duda, ha de ocuparse de atender a sus clientes
y no de redactar un sesudo corpus normativo.
No obstante, piense que adoptando las cautelas
que aquí se le ofrecen también estará haciéndolo
(atendiéndoles).
4.3. Asignar responsabilidades
La primera responsabilidad que habrá de asumir
será la suya, propia, con relación a la rendición
de cuentas sobre el uso que, de los recursos
informáticos u otros que alberguen información,
se haga en su despacho.
Más allá de eso, se hace difícil, por la
recomendable segregación de funciones,
distribuir papeles y responsabilidades cuando
la estructura (personas) es muy reducida, como
ocurrirá en un pequeño despacho (por no hablar
del caso de un profesional autónomo). ¡Hágalo,
no obstante, empleando el mejor de los juicios!
En todo caso, dé a conocer a quién
corresponde cada papel, así como la autoridad
que haya asignado a cada uno. ¡Servirá de poco
que nombre a responsables que nadie conoce y
a los que, por tanto, no sabrán que tienen que
acudir cuando sea pertinente (por ejemplo, ante
la materialización de un incidente)!
Se hace difícil, por
la recomendable
segregación
de funciones,
distribuir papeles y
responsabilidades
cuando la estructura
(personas) es muy
reducida.
4.4. Adoptar buenas prácticas
El mercado ofrece numerosos modelos o
marcos de buenas prácticas, en materia de
 ciberseguridad. Estos párrafos tratan, de
hecho, de ofrecer algunas de ellas. Adóptelas y
adáptelas a sus necesidades particulares. Tratan
de ser -y, sin duda, son- un recomendable punto
de partida.
Identifique los activos
de información clave
que se manejan
en su despacho -o
que maneja Ud.
individualmente-
en el ejercicio de su
actividad. Tenerlos
“localizados” le
permitirá conocer
el conjunto de
elementos que, a
priori, habrá de
proteger.
4.5. Identificar las joyas de la
corona
Identifique los activos de información clave que
se manejan en su despacho -o que maneja Ud.
individualmente- en el ejercicio de su actividad.
Tenerlos “localizados” le permitirá conocer el
conjunto de elementos que, a priori, habrá de
proteger.
4.6. Identificar debilidades
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en
Junto a sus activos de información más
valiosos, será relevante conocer las principales
debilidades de las que adolecen dichos activos
(incluidos los sistemas, plataformas u otros
elementos/soportes -incluido el papel- que los
albergan).
Identifique, igualmente, otras posibles
debilidades que presente el ecosistema en el que
10
Ud. y/o su despacho, desarrollan su actividad
(proveedores, empleados, clientes, etc.).
Identificadas las
debilidades, será
oportuno, igualmente,
conocer las amenazas
que se ciernan
sobre los activos
de información a
proteger.
4.7. Identificar amenazas
Identificadas las debilidades, será oportuno,
igualmente, conocer las amenazas que se
ciernan sobre los activos de información a
proteger.
Dichas amenazas, a diferencia de las
vulnerabilidades (factores intrínsecos), son
factores externos que ponen potencialmente
en peligro los activos de información de la
organización.
El conocimiento de sus activos clave,
debilidades y amenazas, le ayudará a valorar
cuáles de aquellos pudieran estar más
amenazados, cuál sería el impacto en caso de
que se viesen afectados por alguna debilidad o
amenaza materializadas y, consecuentemente,
cuáles habrá de proteger en primer lugar y/o con
mayor intensidad.
4.8. Asignar un presupuesto
Ya se ha dicho: ¡nada es gratis! Literalmente.
Piense que gran parte de las medidas de
protección que Ud. se puede plantear para
proteger su información tienen carácter
procedimental, cultural, etc., y que pasan más
por la aplicación del sentido común -el menos
común de los sentidos-, que por el hecho
de tener que adquirir soluciones dotadas de
un cierto componente de sofisticación. No
obstante, incluso en el primer caso, dótese de
 cierto presupuesto porque es posible que tenga
que destinar alguna partida, simplemente,
para ofrecer, por ejemplo, con ayuda de
un especialista externo, alguna sesión de
sensibilización en la materia a sus colaboradores
o a Ud. mismo.
Piense, además, que serán unas
recomendaciones que sus propios clientes
también agradecerán. ¿Quién sabe?, quizá
vislumbre en todo esto una oportunidad para
ampliar la cartera de servicios de su propio
despacho.

* * Quizá vislumbre
Considere estas primeras recomendaciones
como el punto de partida para empezar a
en todo esto una
dar respuesta la inexcusable cuestión de la oportunidad para
ciberseguridad y, con ello, para comenzar a
establecer su propio marco interno de protección ampliar la cartera de
de la información. servicios de su propio
despacho.
el despacho y cómo [empezar a] darle respuesta
21. La inexcusable cuestión de la Ciberseguridad en

11