Ciberseguridad en los procesos de arbitraje internacional
Los procedimientos internacionales de arbitraje representan un medio prominente para la resolución de disputas en el ámbito global. Como alternativa a los tribunales tradicionales, ofrecen flexibilidad, neutralidad y confidencialidad. En un entorno donde las partes involucradas pueden pertenecer a distintas jurisdicciones, el arbitraje provee un marco imparcial y eficiente para resolver conflictos comerciales y legales. Los procedimientos arbitrales se rigen por acuerdos entre las partes y se desarrollan bajo reglas específicas. La elección de expertos en la materia como árbitros y la aplicabilidad de tratados internacionales añaden complejidad a este proceso.
Aunque estos procedimientos siempre se han visto inmersos en la necesidad de resguardar la confidencialidad de la información asociada al proceso, el contexto digital impone la adaptación continua de la protección al escenario cambiante de las amenazas que, como veremos, pueden tener su origen en actores no asociados habitualmente al cibercrimen.
La protección de la información adquiere así una relevancia insoslayable, planteando retos específicos que demandan soluciones innovadoras. En este artículo, exploraremos la crucial relación entre la seguridad de la información y los procedimientos de arbitraje, desentrañando los desafíos primordiales que emergen, delineando estrategias esenciales para preservar la información sensible y examinando cómo el constante avance tecnológico reconfigura la noción misma de seguridad en el contexto del arbitraje.
El arbitraje provee un marco imparcial para resolver conflictos comerciales y legales
¿Por qué es importante la ciberseguridad en procesos de arbitraje internacional?
El interés de terceros, interesados o participantes, en acceder a la información relacionada con un proceso de arbitraje hace que los activos que gestionan, almacenan o comunican dicha información sea un claro objetivo para los ciberdelincuentes:
- Como foro neutral de resolución de disputas comerciales y de inversión, el arbitraje internacional a menudo implica a partes que son en si mismas objetivos destacados de ataques: grupos multinacionales, gobiernos o entidades estatales, figuras públicas y ONGs.
- Aunque el nivel y alcance de la confidencialidad son variables, el arbitraje ofrece la posibilidad de resolver disputas a puerta cerrada. Las disputas sometidas a este proceso generalmente requieren pruebas documentales o periciales que no son de dominio público y que pueden tener el potencial de influir, por ejemplo, en decisiones políticas, en los mercados financieros, o en las relaciones comerciales.
- El arbitraje internacional implica a actores de diferentes jurisdicciones que operan desde una variedad de entornos. Por lo general se trata de equipos grandes y transfronterizos de abogados, consejeros, árbitros, profesionales con alto nivel de movilidad que trabajan en entornos que pueden facilitar el éxito de un ataque.
¿Para quién se adoptan medidas de ciberseguridad en procesos de arbitraje internacional?
La información utilizada en los procesos de arbitraje internacional puede ser de gran interés para diversas entidades y actores debido a su naturaleza confidencial y potencialmente influyente.
- Activistas, individuales o grupos motivados por una causa social o política. Dependiendo del motivo o sujeto del proceso de arbitraje pueden perseguir reformas económicas, sociales, políticas o medioambientales, y tratar de obtener información que puedan utilizar para alcanzar sus metas.
- Estados o agentes estatales, en busca de información que les permita avanzar en su propia agenda política o alcanzar una posición privilegiada respecto a otros países o regiones.
- Cibercriminales, que por lo general llevan a cabo ciberataques con el objetivo de obtener beneficio económico, ya sea reteniendo información para exigir un rescate o robándola para venderla a terceros interesados. Obtener una versión preliminar de un laudo arbitral antes de su divulgación a las propias partes podría ser muy lucrativo para los ciberdelincuentes.
- Por último, los propios oponentes en los procedimientos de arbitraje internacional. Es posible que las partes comerciales o individuales en un arbitraje intenten obtener información de manera ilegal contra sus oponentes para disponer de ventajas en el proceso de resolución de disputas.
Los activos que gestionan esta información son un claro objetivo para los ciberdelincuentes
Las consecuencias de no aplicar ciberseguridad en procesos de arbitraje internacional
Todos los incidentes de seguridad tienen un impacto significativo en una organización, independientemente de su magnitud. Estos eventos comprometen la integridad, la privacidad y la confidencialidad de la información. Incluso los incidentes aparentemente menores pueden tener un efecto dominó que derive en importantes consecuencias. En el ámbito del arbitraje internacional, no es menor el impacto de un incidente de seguridad:
- Pérdidas económicas: Los procedimientos de arbitraje a menudo involucran información altamente sensible y cantidades económicas relevantes. Para las partes implicadas, casi siempre empresas de ámbito y dimensión internacional, el impacto de un incidente de seguridad puede provocar serios daños económicos, frustrar estrategias comerciales o influir en su cotización en los mercados financieros.
- Impacto reputacional: Cuando un incidente de seguridad filtra información sensible, el daño reputacional para árbitros, consejeros e instituciones es inevitable. En el caso de los despachos legales, incluso si resuelven con rapidez y diligencia la situación, el daño afectará a futuras expectativas de negocio al quedar el incidente vinculado a la historia de la organización. Globalmente, la confianza en el propio sistema de arbitraje puede ser cuestionado si se producen incidentes de forma recurrente en diferentes procedimientos e implicando a múltiples agentes.
- Responsabilidad legal: El carácter transnacional de los procedimientos supone que las partes quedan obligadas por un amplio catálogo legislativo. El impacto de un incidente puede suponer el incumplimiento de leyes y marcos regulatorios como el reglamento general de protección de datos (RGPD) que, a menudo, llevan asociado un régimen sancionador.
- Incumplimiento contractual: Las partes que intervienen en los procesos de arbitraje usualmente están sujetas a obligaciones contractuales para la protección de la información sensible y confidencial a cuyo conocimiento acceden debido a dicho proceso. En el caso de los agentes legales, además, la propia ética profesional exige la confidencialidad en todo lo relativo al proceso y a su cliente, siendo, en algunos países como EE.UU. no solo una obligación ética sino implícitamente contractual.
En julio de 2015 la Corte Permanente de Arbitraje de La Haya (CPA) conducía un proceso entre China y Filipinas. Un ataque, atribuido a China, a la página web de la CPA consiguió que cualquier usuario que la visitara pudiera potencialmente quedar infectado por un programa malicioso que permitiría a China acceder a toda la información de su equipo. Infectando los ordenadores de periodistas, diplomáticos, abogados y otras partes involucradas o interesadas, China pudo disponer de los nombres de las personas que seguían el proceso y anticipar su posición ante la Corte.
La respuesta
Las diferentes instituciones involucradas en los procesos arbitrales han trabajado en el desarrollo de marcos de trabajo, protocolos, instrucciones y recomendaciones tendentes a garantizar la seguridad de la información relacionada con dichos procesos. La más relevante de estas iniciativas es la que se conoce como “Protocolo 2020” desarrollado por la ICCA-NYC y que define un marco de trabajo para que los participantes alcancen y mantengan un nivel de ciberseguridad razonable durante los procesos de disputa.
Sin embargo, aunque el protocolo es útil para enfatizar la concienciación y la necesidad de una estrategia de ciberseguridad en las partes, está aún lejos de ser perfecto:
- Requiere a los tribunales la definición de las medidas de ciberseguridad a aplicar en cada caso individual y a cada una de las partes, lo que, obviamente, queda fuera de la capacidad y experiencia del tribunal.
- Su aplicación puede ser inconsistente entre diferentes casos, lo que dificulta la aplicación de medias de ciberseguridad entre las partes que, a menudo, participan simultáneamente en varios procesos arbitrales.
- Finalmente, aunque cierta inconsistencia es inevitable, una elevada disparidad en los requerimientos de medidas de ciberseguridad a las partes por los diferentes tribunales, o incluso en cada procedimiento en un mismo tribunal, puede afectar negativamente a la confiabilidad, efectividad y previsibilidad del régimen de arbitraje y, a largo plazo, a su credibilidad.
La iniciativa más interesante es “Protocolo 2020”, pero está lejos de ser perfecta
“Last but not least”
La ciberseguridad, o la falta de ella, en las partes involucradas en un arbitraje internacional puede afectar a la legitimidad del procedimiento y erosionar la confianza en las instituciones y en el propio sistema de resolución de disputas. Para las partes, un incidente de ciberseguridad puede suponer la difusión de información sensible, ruptura de la confianza de sus clientes, referencias negativas en los medios e incumplimiento regulatorio.
Cualquier firma en el sector jurídico, bufete de abogados, boutique legal, entidades de servicios de asesoría y consultoría, árbitros y consejeros deben disponer de un enfoque estratégico que les permita identificar, evaluar y mitigar los riesgos relacionados con la gestión de la información, implantarlo eficaz y eficientemente, y respaldarlo con certificaciones como la ISO 27001 para sistemas de gestión de seguridad de la información.
La certificación ISO 27001 es un estándar mundialmente reconocido que demuestra la implantación en una organización de las mejores prácticas de seguridad, brinda a sus clientes la confianza necesaria y fortalece la reputación y competitividad de la organización en el mercado.
La certificación ISO27001 garantiza la seguridad de la información
Para conseguirlo, cómo no, es imprescindible contar con un proveedor comprometido con el modelo, que asuma el liderazgo para guiar y respaldar a la organización en cada paso hacia la definición, implementación y certificación de una estrategia adecuada, y que cuente con un equipo de profesionales expertos en el sector que trabaje codo con codo con el cliente para comprender sus necesidades específicas y diseñar una estrategia adaptada a su entorno. En Izertis ofrecemos soluciones de ciberseguridad para nuestros clientes, monitorizando continuamente las infraestructuras para detectar con antelación las posibles amenazas y riesgos.