Más de 100 bufetes de abogados han reportado violaciones de datos. Y el problema está empeorando
Una investigación de Law.com encuentra que las firmas de abogados son víctimas de violaciones de datos a un ritmo alarmante, exponiendo información confidencial de clientes y abogados. Estos incidentes, la mayoría no publicados hasta ahora, pueden ser la punta del iceberg.
En febrero de 2017, los formularios de impuestos para cientos de empleados actuales y anteriores de Jenner & Block cayeron en las manos equivocadas, exponiendo potencialmente sus direcciones privadas, números de Seguro Social e información salarial. El bufete de abogados describió la violación como un incidente de suplantación de identidad y le dijo a los funcionarios de Nueva York que los archivos que contienen los formularios W-2 de los empleados fueron "transmitidos por error a un destinatario no autorizado en respuesta a lo que se creía que era una solicitud legítima de la administración".En total, la violación puede haber expuesto la información personal de 859 personas, según el informe de Jenner a las autoridades estatales.
Esa violación, previamente no reportada en los medios de comunicación, fue solo uno de los muchos incidentes de seguridad cibernética que las firmas de abogados, desde grandes firmas de abogados hasta oficinas individuales, han informado a las autoridades estatales en los últimos cinco años, según registros públicos, entrevistas con firmas afectadas. y expertos en ciberseguridad. Si bien la violación de Jenner aparentemente solo afectó a sus propios abogados y empleados, muchas otras violaciones de firmas de abogados pueden haber filtrado información confidencial del cliente, según muestran informes a funcionarios estatales. Sobre la base de extensas solicitudes de registros públicos, Law.com identificó a más de 100 firmas de abogados que han reportado violaciones de datos a las autoridades en 14 estados desde 2014, notificando a las autoridades que una violación de datos que afecta a la firma podría haber expuesto la información personal de las personas. Además de Jenner, la firma Am Law 100 Proskauer Rose también se vio afectada. También fueron víctimas de violaciones de datos reportadas Harris Beach, McGlinchey Stafford y otras empresas medianas; prominentes boutiques como Sanford Heisler Sharp; así como profesionales en solitario, organizaciones sin fines de lucro y oficinas de abogados del gobierno. Varias facultades de derecho también denunciaron infracciones (al igual que ALM, la empresa matriz de Law.com). Las diferencias en los requisitos de informes entre los estados hacen que sea difícil discernir tendencias definitivas, pero los ataques de phishing y otras infracciones externas, como la piratería y las fugas de proveedores, representaron la mayor parte de las infracciones de datos identificadas en la investigación de Law.com.
A pesar de una serie de infracciones de alto perfil que ponen a las empresas en conocimiento de los riesgos cibernéticos en los últimos años, hay indicios de que las infracciones de las firmas de abogados se producen con mayor frecuencia, no menos.
Por ejemplo, en el estado de Nueva York, el número de infracciones únicas de datos de bufetes de abogados se duplicó a ocho en 2018 desde cuatro el año anterior, afectando a casi 1,500 personas, según informes presentados por las firmas.
Algunos abogados y consultores de ciberseguridad dijeron que los informes probablemente representan una pequeña fracción de las infracciones que afectan a la industria legal. Las firmas de abogados, como otras empresas privadas, no suelen publicitar cuando se violan sus datos, y muchos pueden no informarlos a los funcionarios estatales, según la ley.
Austin Berglas, ex jefe de la rama cibernética del FBI en Nueva York y ahora jefe global de servicios profesionales en la empresa de ciberseguridad BlueVoyant, dijo que las firmas de abogados son un objetivo principal entre los piratas informáticos debido a la información que poseen sobre los clientes.
"Son una ventanilla única", dijo Berglas. Y debido a que el éxito del bufete de abogados a menudo está vinculado a su reputación de preservar el privilegio de abogado-cliente, pueden estar más dispuestos a pagar a los piratas informáticos si son víctimas de ransomware, agregó.
“Las firmas de abogados solo harán esos informes [de violación de datos] cuando hayan confirmado mediante una investigación forense que se ha tocado información denunciable. No van a informar cada evento, cada campaña de pesca submarina, lo ven todos los días ”, dijo Berglas.
Violando a los expertosEn general, las divulgaciones de bufetes de abogados y abogados representaron solo una pequeña fracción de los cientos de notificaciones de violación de datos que Law.com revisó. Las empresas que van desde contadores y restaurantes hasta empresas de servicios financieros y hoteles Trump han notificado a los reguladores estatales que pueden haber sido víctimas.
Pero la evidencia de infracciones generalizadas de la industria legal es sorprendente porque los abogados tienen el deber de proteger la información privilegiada del cliente. Y muchas firmas de abogados, particularmente las firmas Am Law 200, se anuncian como expertos en ciberseguridad que asesoran a los clientes sobre cómo prevenir y limitar las violaciones de datos.
Algunas empresas que se promocionan como expertos en ciberseguridad han sido víctimas. Jenner, por ejemplo, mantiene una práctica de privacidad de datos y ciberseguridad para "servicios de asesoramiento y litigios para garantizar la privacidad e integridad de su información confidencial". En 2017, el mismo año que Jenner informó su propio incidente de phishing, el bufete de abogados informó a las autoridades estatales de varias violaciones de datos en nombre de corporaciones como Revlon Consumer Products, McKinsey & Co. y Scientific Games Corp.
En una declaración a Law.com sobre su violación de datos, Jenner dijo que la firma "cumplió con todos los requisitos legales y de informes, y brindó asistencia a cualquier personal afectado". La firma agregó que "toma muy en serio la seguridad de los datos y mantiene un riguroso y enfoque sistemático para la seguridad de la información que incluye salvaguardas técnicas, administrativas y físicas diseñadas para proteger al cliente y otra información ". La empresa agregó que opera un" sistema de gestión de seguridad de la información formal, documentado y auditado externamente diseñado para proteger los datos de la empresa y del cliente ".
![](https://images.law.com/contrib/content/uploads/sites/292/2020/10/Austin-Berglas-Vert-201910141727.jpg "Austin Berglas, el ex jefe de la unidad de violación cibernética del FBI en Nueva York, llamó a las firmas de abogados "una ventanilla única"para los piratas informáticos.")
Austin Berglas, ex jefe de la sucursal cibernética del FBI en Nueva York, llamó a las firmas de abogados "una ventanilla única" para los piratas informáticos. (Foto de cortesía)Proskauer Rose también ha sido consejera y víctima. La firma de Nueva York, que se anuncia a sí misma como un "líder reconocido en la ley de privacidad y seguridad cibernética", ha presentado informes de violación de datos en nombre de Bed Bath & Beyond; Iniciativa de acceso a la salud de Clinton; Centro Internacional de Calidad y Productividad; GAM Fund Management Limited; y Harry Winston, según documentos obtenidos por Law.com. En 2016, Proskauer reveló su propia violación de datos a las autoridades estatales, después de que "recibió varios informes de los empleados de la empresa que las declaraciones de impuestos fueron presentadas en su nombre por personas no autorizadas en actos de robo de identidad". El bufete de abogados informó a las autoridades y a los empleados afectados que un empleado de su departamento de nómina recibió un correo electrónico fraudulento, que parecía ser de uno de los altos ejecutivos de la firma, solicitando copias de W-2 del personal de la firma. "Creyendo que la solicitud por correo electrónico era legítima", dijo la firma a los funcionarios estatales, "el empleado de la nómina envió por correo electrónico la información solicitada. La dirección de correo electrónico de respuesta fue fraudulenta y la información se transmitió a un tercero no autorizado ".
En total, más de 1.500 personas se vieron afectadas, dijo Proskauer en su declaración de Nueva York, incluidos 700 residentes del estado. Además de ayudar a los miembros del personal afectados, Proskauer informó que estaba tomando medidas para "evitar que algo así vuelva a suceder", incluida la mejora de la capacitación del personal y los controles de gestión y la imposición de restricciones sobre el tipo de datos que se transmiten electrónicamente.
Un representante de Proskauer declinó hacer comentarios a Law.com.
Informes discretos
Todos los estados requieren que las empresas reporten incidentes de ciberseguridad a las personas afectadas por la violación, pero algunos estados tienen requisitos mínimos o nulos para informar a los funcionarios estatales. En los estados más regulados, las firmas de abogados, como otras empresas, deben contar con su autoinforme.
“Las firmas de abogados son bastante discretas sobre cómo informan” sobre las violaciones de datos, dijo Claudia Rast, líder del grupo de seguridad cibernética de Butzel Long y miembro del grupo de trabajo legal de seguridad cibernética de la Asociación de Abogados de los Estados Unidos. “Desafortunadamente, muchas firmas de abogados no lo denuncian. No quieren que sus clientes lo sepan ”.
Para complicar las cosas, algunos de los datos de clientes más sensibles que poseen las firmas de abogados pueden estar relacionados con fusiones y otras transacciones. Pero una violación que involucra detalles de un acuerdo de fusiones y adquisiciones, si incluía datos corporativos pero no exponía la información personal de un individuo, no necesariamente tiene que ser reportada a las autoridades estatales, según Rast y otros.
Claudia Rast, quien lidera el grupo de seguridad cibernética en Butzel Long, dijo que muchas firmas de abogados no informan de las infracciones a los funcionarios por temor a alarmar a los clientes. (Foto de cortesía)Dicha información sensible del acuerdo fue el núcleo de la acusación del fiscal federal de Manhattan en 2016 de tres ciudadanos chinos acusados de piratear dos importantes firmas de abogados estadounidenses en un esquema para intercambiar información sobre fusiones y adquisiciones inminentes. Según los detalles de la acusación, las dos firmas parecían ser Weil, Gotshal & Manges y Cravath, Swaine & Moore, firmas con violaciones cibernéticas que se informaron previamente en la prensa. (Dos acusados nunca fueron arrestados y siguen en libertad, mientras que funcionarios extranjeros negaron la extradición del tercero, dijo una portavoz de la Oficina del Fiscal de los Estados Unidos). En otro incidente de alto perfil, DLA Piper fue golpeado por un ciberataque importante en el verano de 2017, noqueando teléfonos y computadoras en toda la empresa, aparentemente provocado por un ataque de ransomware. Un portavoz de la firma dijo que "no se tomaron datos del cliente". Aún así, un número cada vez mayor de informes de incumplimiento presentados por bufetes de abogados en los últimos cinco años puede mostrar tanto la creciente frecuencia de violaciones de datos de la industria legal como una mayor conciencia y cumplimiento por parte de los bufetes de abogados, dijeron abogados en prácticas de privacidad de datos. "Hay más violaciones de datos [en todas las industrias], pero lo más importante es que las personas se están volviendo más sofisticadas en el monitoreo" para ellos, dijo Avi Gesser, socio de Davis Polk & Wardwell en su práctica de ciberseguridad. “Los están detectando más y son más conscientes de sus obligaciones de notificación a medida que el mercado se vuelve más indulgente. Las personas se sienten más cómodas informando. Sienten que están siendo buenos ciudadanos corporativos ”. "Si no llamas a nadie ni le dices a nadie", dijo, "es difícil interpretar el papel de víctima".
Incumplimientos de phishingJenner y Proskauer estaban lejos de ser las únicas empresas que informaron ataques de phishing en los registros estatales revisados por Law.com. De hecho, los expertos en seguridad de datos dijeron que los esquemas de phishing son la amenaza más común para las firmas de abogados en este momento.
En lo que describió como un "delito contra nuestra firma", el abogado 217 Harris Beach, con sede en Rochester, Nueva York, informó que una "persona no autorizada" accedió al correo electrónico de un abogado de la firma el año pasado, lo que llevó a la firma a contratar a un experto en informática forense. .
“El experto informa que el método utilizado para acceder a la cuenta de correo electrónico descarga automáticamente todo el contenido del buzón a la computadora personal del hacker, lo que hace posible que el hacker aún posea el contenido de este buzón y pueda utilizarlo en el futuro ", escribió el bufete de abogados a las autoridades estatales.
La información de hasta 74 personas, incluidos el nombre y el número de Seguro Social, podría haberse visto afectada, según la carta de la firma.
El portavoz de Harris Beach, Ben Rand, reconoció el ataque de phishing en un comunicado. "Nuestros equipos de cumplimiento, gestión de riesgos y TI activaron nuestro plan de respuesta y tomaron medidas para contener, mitigar y resolver el incidente", dijo Rand, y agregó que la firma informó a las autoridades policiales. "Harris Beach se compromete a salvaguardar la confidencialidad, integridad y disponibilidad de la información del cliente", dijo, y ha adoptado un programa de seguridad cibernética "robusto".
La destacada boutique de empleo Sanford Heisler Sharp informó a varios estados que una "parte no autorizada obtuvo acceso a una cuenta de correo electrónico" perteneciente a un socio de la empresa,liderando una "investigación forense sobre un incidente de phishing". La violación de datos afectó a unas 413 personas. empresa dijo a las autoridades de Carolina del Norte. Una portavoz de Sanford Heisler declinó hacer comentarios.
En el caso de McGlinchey Stafford, una firma de 170 abogados con sede en Nueva Orleans, la firma informó a las autoridades del estado de Nueva York hace aproximadamente un año que la información en la cuenta de correo electrónico de un empleado puede haber sido visitada por "un tercero no autorizado como resultado de un ataque de phishing ", posiblemente afectando a 468 personas.
En una declaración a Law.com, McGlinchey dijo que descubrió la violación después de enterarse de que los empleados de la empresa habían recibido "correos electrónicos no deseados". La empresa dijo que "recurrió a la experiencia de consultores externos cuyo trabajo fue crítico para minimizar el impacto del incidente". y dijo que no había indicios de que la parte no autorizada accediera o utilizara la información.
"La empresa siempre ha mantenido los más altos estándares en seguridad digital, en parte, porque es requerido por la industria de servicios financieros que servimos", dijo McGlinchey. "Los sistemas que tenemos implementados minimizan en gran medida el impacto potencial de este incidente".
En respuesta al incidente, la empresa dijo que revisó y revisó sus políticas, restableció las credenciales de acceso de los empleados, implementó un "filtro de spam más agresivo para todos los correos electrónicos de los empleados e implementó el uso de protocolos de seguridad avanzados, incluido el uso generalizado de múltiples autenticación de factor ".
"Este incidente nos confirmó que cada onza de recursos que dedicamos a reforzar nuestras defensas y capacitar a nuestro personal profesional y abogados está bien gastada", agregó la firma.
Si bien los incidentes de phishing demuestran que las firmas de abogados pueden preparar y capacitar a abogados para evitar algunas filtraciones de datos, las divulgaciones de otras firmas de abogados obtenidas por Law.com muestran que algunos incidentes de seguridad pueden estar totalmente fuera de su control.
Algunas firmas de abogados informaron violaciones de datos a través del lapso de seguridad de un proveedor, mientras que otras informaron que robaron discos duros y computadoras portátiles, lo que plantea la cuestión de si las violaciones de datos son un costo para hacer negocios, incluso en una industria que protege su información de manera tan estrecha.
"Más de la mitad de las empresas experimentan incidentes de seguridad de datos", dijo Rast, el abogado de ciberseguridad de Butzel Long. "Las firmas de abogados no son diferentes a la mayoría de las empresas".