El despacho de abogados estadounidense Holland & Knight se enfrenta a una demanda millonaria por haber sido engañado durante una operación de compraventa de acciones. La firma está acusada de no haber hecho lo suficiente para prevenir e identificar un fraude en una transacción que asciende a más de 3 millones de euros.
Los ciberdelincuentes interceptaron los correos electrónicos del bufete y suplantaron la identidad de sus clientes, que actuaban como vendedores. Esta estrategia les permitió tener acceso a información y documentación de la operación, y a modificar la cuenta corriente en la que debía ingresarse el dinero del pago, para sustituirla por una cuenta de un banco en Hong Kong a nombre de Wemakos Furniture Co. Limited.
Los demandantes acusan al bufete de actuación negligente, incumplimiento de contrato e inobservancia del deber fiduciario que les corresponde
Los demandantes, la familia Sorenson, acusan a la firma de abogados y al agente depositario de las acciones de actuación negligente, incumplimiento de contrato e inobservancia del deber fiduciario que les corresponde. La principal cuestión en la que basan la demanda es que, aún a pesar de que existían procedimientos a seguir de cara a obtener la confirmación de los intervinientes para el cambio de cuenta corriente, las comunicaciones enviadas desde el despacho fueron interceptadas por los ciberdelincuentes.
Francisco Pérez Bes, exsecretario general del Instituto Nacional de Ciberseguridad de España (Incibe) y actual socio de Dereho Digital en Ecix, explica que esta tipología de ciberdelito es habitual en el comercio internacional, y que varias empresas españolas han sido víctima de este tipo de ataques. "Lo que las caracteriza a este tipo de ataques dirigidos es su complejidad y su alto componente de ingeniería social", destaca Pérez Bes. "La demanda se basa en una supuesta obligación de diligencia del despacho para detectar que las direcciones de correo electrónico no eran legítimas, y que la documentación que se incluía en aquellas no era verdadera", añade.
"El despacho no adoptó medidas complementarias de comprobación, como podría haber sido la de llamar por teléfono", destaca Francisco Pérez Bes, ex secretario general del Incibe
Francisco Pérez Bes añade que "aún a pesar de disponer de un protocolo interno que regulaba cómo cambiar la cuenta bancaria a la que hacer el pago del precio, aquel falló, y el despacho no adoptó medidas complementarias de comprobación de la veracidad de la orden recibida, como podría haber sido la de llamar por teléfono a los vendedores y obtener su confirmación".
La firma sostiene que que sus sistemas informáticos no se han visto vulnerados, y que actuaron de conformidad con las instrucciones recibidas desde el servidor de correo electrónico del demandante. Este mismo despacho de abogados ya fue víctima, en el año 2015, de una campaña de phishing que utilizaba su imagen para difundir malware a través de enlaces maliciosos insertados en noticias falsas en Internet.
La ciberseguridad ya como obligación
Pérez Bes insiste en la importancia de implementar planes de formación y de concienciación para empleados y directivos, que les permitan sospechar de situaciones que se salgan de lo que es habitual, y activar procedimientos con los que confirmar la veracidad de la información. "Este extremo es clave para poder gestionar las responsabilidades de cada una de las partes llegado el caso de que se produzca alguna situación indeseada", destaca. "Especialmente, entre las organizaciones que intervienen en operaciones societarias y en compraventas internacionales", precisa.
Aún hay que esperar la decisión del tribunal, que puede condenar al despacho a indemnizar a los vendedores, y a las posibles consecuencias legales y deontológicas pueden tener este tipo de situaciones, tanto para la abogacía internacional como para las compañías aseguradoras.
