Como informático, debo reconocer que el uso de herramientas no adecuadas a una determinada profesión no resulta demasiado sorprendente (por desgracia). Pese a existir multitud de imperativos legales, en ocasiones acaba primando la comodidad por encima de dicha adecuación, y así no resulta extraño observar el uso de aplicaciones como son WhatsApp, Facebook, Google Drive o Dropbox mucho más allá de lo que debería. Un ejemplo lo podríamos encontrar además en los casos que, una vez cerrado el servicio de Megaupload, afirmaron haber perdido documentos relacionados con su profesión.

El caso de los abogados, y de los canales utilizados para sus comunicaciones, no resulta ni mucho menos ajeno a este problema. Basta con leer el excelente post que ha hecho al respecto el compañero Pablo Fernández Burgueño, del cual os recomiendo su lectura, queriendo hacer además hincapié en un par de aspectos mencionados en el post

– Permitir acceso http o https, siendo responsabilidad del abogado escoger el método seguro

Sin perjuicio de que es responsabilidad del abogado utilizar las herramientas que se adecúen a su actividad, aquí nos encontramos ante un servicio ofrecido por corporaciones de las cuáles se presume que tienen en cuenta las características de sus colegiados. Esto nos lleva a que para el colegiado no atento se crea una apariencia de seguridad que no es real, a lo que debemos añadir que

1- Permitir acceso seguro y no seguro implica que el abogado puede estar interesado en usar el acceso no seguro, o que hay partes de su actividad que no están sometidas a la obligación de adoptar medidas de seguridad, circunstancia que no es cierta en lo más mínimo.

2- Dado que se ofrece un servicio de correo a los colegiados de las propias corporaciones, no tener en cuenta que nos encontramos ante una profesión con características especiales resulta cuanto menos sorprendente

Si a todo lo anterior le sumamos en ocasiones el uso de redes no seguras (por desconocimiento de las consecuencias que ello supone) tenemos un cóctel más que peligroso en cuanto a posibles vulneraciones del secreto de las comunicaciones.

– Acceso directo a las contraseñas

Si hay algo que los administradores de servidores tienen (o deberían) tener claro es que las contraseñas NO deben almacenarse en texto plano. Ni tan siquiera los administradores del servicio deben poder acceder a dicha contraseña, implementando en todo caso mecanismos que permitan reiniciar las mismas a través de métodos seguros en el caso de su pérdida. En alguna ocasión he observado que se han almacenado dichas contraseñas en plano al querer utilizar mecanismos de cifrado en la comunicación y no pensar en utilizar los hashes correspondientes a dichos mecanismos, pero es que además en este caso nos encontramos ante una comunicación no segura, lo cual no hace sino incrementar los riesgos.

Dejar las contraseñas en plano permitiría, en el caso de existir algún problema de seguridad en el servidor (e incluso en el mejor de los casos debemos tener en cuenta dicha posibilidad), que el atacante tuviera acceso a las contraseñas de los usuarios de forma directa, pudiendo acceder a los correos de los mismos, lo cual me lleva a la siguiente cuestión…

– Cifrado de los mensajes en reposo

Ya no me refiero al uso de cifrados que impidan el acceso a los ficheros y sus metadatos en el caso de robos del disco del servidor, sino a que este en funcionamiento mantenga el cifrado de los mensajes. No contar con herramientas que mantengan cifrado el mensaje hasta el momento de acceso por parte de su legítimo destinatario (sin perjuicio de las dificultades que en ocasiones se alega) permite un acceso que, a mi juicio, va más allá de lo justificable. Por lo tanto, tendremos que confiar en que en ningún caso el administrador del servidor (o quien suplante su papel) va a querer acceder a mi buzón, dado que va a poder tener acceso pleno a todos mis mensajes.

Por otro lado, resulta cierto que podemos utilizar esquemas de envío de mensajes seguro, facilitando nuestra llave a nuestros clientes para que los mensajes solo los pueda abrir yo. Dicho esto, lo cierto es que en la práctica no resulta tan sencillo que se utilicen de manera general, con lo cual debe buscarse una solución alternativa.

En conclusión, coincido con la preocupación por la falta de adecuación del servicio de correo prestado por los Colegios de Abogados, y en particular la falta de medidas de cifrado y que faciliten conexiones seguras. Análisis como el presentado deben ser tomados como lo que son, una crítica constructiva que puede ser adoptada como punto de inicio para mejorar un servicio tan importante como es el relacionado con las comunicaciones de los abogados.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.