"La comunicación cifrada no es un extra opcional, sino una obligación"

Entrevista con Matthias Baenz, abogado fiscalista, sobre seguridad, responsabilidad y confianza de los clientes.

Tax lawyer Matthias Baenz uses Tuta Mail – and believes anyone taking email security seriously should do the same.

Muchas empresas tienden a descuidar la comunicación cifrada. Sin embargo, esto puede tener graves consecuencias. Nos sentamos con Matthias Baenz, abogado y usuario de Tuta desde hace tiempo, especializado en derecho fiscal, para averiguar dónde está el riesgo, por qué muchos abogados siguen sin ofrecer cifrado y por qué él y su bufete hacen las cosas de otra manera. Baenz también nos explica por qué la adopción de herramientas de comunicación cifradas a pequeña escala puede ayudar a los bufetes de abogados a mejorar la protección de datos y de los clientes a largo plazo.


Pregunta: Sr. Baenz, como ya hemos hablado, antes de presentarle a usted y a su bufete, me interesaría mucho saber: ¿Por qué es tan importante la comunicación cifrada para los abogados?

Respuesta: En realidad, la comunicación cifrada para abogados no es algo que afecte sólo a los abogados, sino a todo el mundo. Pero para los abogados también existe la dimensión del derecho profesional. Esto significa que los abogados operan dentro de un conjunto especial de normas y tienen ciertos deberes de consideración que no se aplican en el ámbito privado.

Esto significa que, como abogado, simplemente tengo un conjunto de normas que me dictan ciertas cosas, mientras que como usuario privado quizá pueda preguntarme: ¿Me afecta esto en algo? ¿Me interesa? ¿Me parece mal? Como abogado, en cambio, siempre tengo que tener en cuenta no sólo mi propia ley profesional, sino sobre todo los intereses de mi cliente.

Hay directrices claras que dicen: No debo perjudicar los intereses de mi cliente. Por cierto, estas normas siempre han existido. Pero en el curso de la cuestión de la protección de datos han surgido nuevos riesgos, uno de los cuales es el riesgo de interferencia. Y todos los abogados deben tomárselo en serio. Todos los abogados tienen el deber especial de garantizar que el cliente no se vea expuesto al riesgo de filtración de datos, acceso involuntario o publicación de datos.

Esto sólo puede garantizarse mediante una comunicación auténtica y cifrada como Tuta Mail. Sin embargo, muchos abogados ni siquiera son conscientes de que esto es así, y de que hay que tomárselo en serio. Las precauciones técnicas habituales en el tráfico de correo electrónico, como TLS, simplemente no lo consiguen.

Creo que la mayoría de los abogados ni siquiera saben lo que significa SSL o TLS. Los proveedores de correo electrónico suelen tranquilizar a los usuarios diciendo que la conexión está cifrada. A menudo se muestra así: “Conexión cifrada”. Pero mucha gente no sabe que esto sólo se aplica a la conexión con su propio servidor de correo electrónico. El resto de la conexión está básicamente sin cifrar.

Esto significa que los datos pueden ser interceptados y modificados. Este hecho simplemente no se conoce y no se toma lo suficientemente en serio. La gente suele decir: “Bueno, ¿qué tiene eso de malo?“. O: “¿A quién se supone que le va a importar eso?” Y con esta actitud, ni siquiera se repara en la amenaza real. En mi opinión, sin embargo, la comunicación cifrada no es un extra opcional, sino un deber, especialmente para los abogados.

Activa la privacidad con un solo clic.

Pregunta: Sí, creo que el tema de “ser cambiado” también es muy importante porque la mayoría de la gente no lo tiene en su radar. Recientemente se ha publicado en los medios de comunicación alemanes que una factura enviada por correo electrónico por una empresa fue manipulada. ¿Cuál es el riesgo en este caso y cuál es la responsabilidad de las empresas cuando los correos electrónicos, especialmente las facturas, se envían sin cifrar? ¿Deben las empresas confiar en los correos electrónicos cifrados?

Respuesta: El riesgo es enorme, y en este caso el cliente tuvo que aprenderlo por las malas. Pero, por supuesto, siempre se aplica en ambas direcciones. Tal vez deberíamos explicar brevemente cuál era el problema en este caso concreto.

La cuenta de correo electrónico de la empresa había sido pirateada, al menos eso es lo que supuso el tribunal. Tomemos eso como base. Así que alguien había intervenido: el hacker. La cuenta del destinatario, es decir, la cuenta de pago, se cambió para todos los correos electrónicos relacionados con documentos de facturación. Todo lo demás parecía exactamente igual. Los correos electrónicos tenían el mismo aspecto, sólo había cambiado el número de cuenta. Sin embargo, nadie se dio cuenta, ni la empresa ni el cliente.

El tribunal comprobó entonces dos cosas. En primer lugar, ¿cumplió el cliente su deuda con este pago a la cuenta especificada en la factura? No, dijo el tribunal, no lo había hecho. En otras palabras, la deuda seguía pendiente. Ese fue el primer gran golpe para el cliente: que no había cumplido su deuda a pesar de haber pagado 11.000 euros.

El tribunal no podía decidir otra cosa. Si el dinero no llega donde debe, entonces no se ha pagado.

La cuestión de si la empresa debería haber hecho algo para evitar el pirateo -por ejemplo, con correos electrónicos encriptados- era inicialmente irrelevante en este contexto. Sólo adquirió relevancia cuando se planteó la cuestión de si la empresa era responsable de los daños y perjuicios. ¿No es el daño exactamente la cantidad que el cliente transfirió a cambio de nada?

El tribunal dijo: Podría ser, pero no el importe total.

El hecho de que el tribunal dijera entonces Ambas partes contratantes han entablado una forma de comunicación arriesgada. Por tanto, se aplica el principio de que quien voluntariamente participa en algo arriesgado también debe asumir el riesgo como ciudadano responsable. En circunstancias en las que el conocimiento y la experiencia están desigualmente distribuidos, por ejemplo, grandes empresas frente a consumidores, la situación puede ser diferente.

En este caso, sin embargo, se trataba de una empresa establecida por un lado y un cliente establecido por otro. Por lo tanto, el tribunal no pudo demostrar una gran diferencia de conocimientos y dijo: ” En principio, ambos asumen el riesgo”.

Sin embargo, en última instancia, la empresa fue “premiada” con un poco más de culpa, porque el tribunal dijo: “usted ha incumplido otra obligación, a saber, la obligación en virtud del Reglamento General de Protección de Datos de proteger su propio sistema informático”.

Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology. Just do it. Start small, like me. Set up a Tuta account and use it for sensitive communication.Offer it to your clients. Let it grow slowly without changing everything right away. Don't be afraid of technology.

Cuando se le pregunta qué consejo daría Baenz a otros bufetes de abogados que no estén seguros de cambiar a plataformas de comunicación cifradas, sugiere empezar poco a poco, por ejemplo con una cuenta de Tuta Mail.

Pregunta: Eso es muy interesante. ¿Significa eso que el cliente debería haber exigido una comunicación cifrada?

Respuesta: Si quieren ir sobre seguro, sí, exactamente. Se puede decir así. El tribunal dijo: “Ambos participaron en esta comunicación vulnerable, así que ambos son culpables”.

Pregunta: Eso es realmente interesante. Para evitar los problemas que ha descrito, es decir, lo que los abogados tienen que proteger, lo que están obligados a hacer, usted y su bufete ofrecen varias opciones de comunicación cifrada, no sólo Tuta Mail. ¿Por qué es tan importante para usted que el cliente pueda elegir diferentes canales de comunicación?

Respuesta: Hay dos aspectos diferentes. Un aspecto es que quiero dar al cliente la posibilidad de elegir. No es una obligación que se me imponga, pero desde mi punto de vista, no sería correcto que me ciñera a un único sistema y rechazara todo lo demás. Al fin y al cabo, no sé qué variantes puede estar utilizando ya el cliente. Y no quiero crear una barrera adicional, quiero hacerlo lo más sencillo posible.

Por eso ofrecemos distintas opciones. Si quiere trabajar con PGP, adelante. Si quieres trabajar con Tuta Mail, hazlo. Si tienes otra cosa, hazlo de otra manera.

El segundo aspecto es, si coloco mi comunicación en diferentes herramientas, entonces creo menos vectores de ataque potenciales en un solo lugar. Es una especie de estrategia de división para no depender completamente de un proveedor y ser vulnerable a los ataques. No quiero gestionar el 100% de mi comunicación con un único sistema, porque eso conlleva naturalmente un riesgo.

Pregunta: ¿Cómo reaccionan sus clientes?

Respuesta: Este es el quid de la cuestión. La mayoría de los clientes ni siquiera tienen un sistema de encriptación, por no hablar de ideas o preferencias. Cuando se acercan a la idea de que es realmente importante para su caso, suelen adoptar el sistema que les sugiero. Y ese ha sido Tuta Mail durante los últimos diez años. Para los clientes es importante que funcione. No quieren probar o comparar cosas diferentes. Sólo quieren que funcione.

Me alegré mucho cuando apareció Tutanota, hace poco más de diez años, porque era un sistema muy fácil de implantar. Incluso con clientes a los que no les gustaban los trucos técnicos, conseguí convencerles de que utilizaran la comunicación cifrada de forma permanente. Antes era mucho más difícil, sobre todo con PGP. Tenía que explicarles: “Hay que instalar esto y aquello, generar un certificado…”, lo que suponía demasiado esfuerzo para los clientes.

Una vez que los clientes cruzaron la barrera, les resultó fácil. Para empezar con la comunicación cifrada, ni siquiera tienen que crear su propia cuenta en Tuta, lo que ha sido y es especialmente agradable. De este modo, pueden seguir utilizando su programa de correo electrónico habitual y seguir comunicándose conmigo de forma segura a través del enlace de Tutanota, o Tuta hoy. A través de la contraseña compartida, tienen acceso a toda la comunicación anterior en cualquier momento a través de un navegador de Internet, por lo que no tienen que descifrar cada mensaje individualmente, pueden ver toda la comunicación anterior a través de un enlace. Eso es estupendo para los clientes.

La única dificultad era que, a veces, cuando había interrupciones más largas en la comunicación, tenía que volver a decirles su contraseña. Para facilitar las cosas, solía dársela, no por correo electrónico, por supuesto, sino a través de otro canal seguro. Lo práctico con Tuta es que puedo almacenar de forma segura la contraseña del cliente en Contactos de Tuta y simplemente buscarla cuando me la pidan. De este modo, puedo volver a dársela al cliente incluso después de medio año o más.

Pregunta: Me alegra mucho oír eso. Tutanota se lanzó hace once años, así que es usted un pionero. Casi me sorprende que usted y yo no nos hayamos cruzado antes. (Risas) ¿Recuerda aún la transición de entonces? ¿Supuso algún reto para su bufete la introducción de Tutanota?

Activa la privacidad con un solo clic.

Respuesta: Por supuesto, todavía los hay hoy, para ser justos. Por desgracia, no he conseguido convertir toda nuestra oficina a Tutanota, ahora Tuta Mail. Existe esa famosa persistencia. Si hubiéramos cambiado por completo, de repente habríamos tenido nuevas direcciones de correo electrónico, algo absolutamente inaceptable para muchos clientes. No hablamos de uno o dos clientes, sino de cientos. Eso da escalofríos a la gente.

Pero cuando se lo enseño: Puedes seguir utilizando tu propio dominio si quieres, tu dirección de correo electrónico sigue siendo visualmente la misma - eso no es problema con Tuta Mail - entonces todavía tendrías que configurarlo y trasladarlo todo. Esto requiere coordinación con el proveedor, ciertos ajustes y un esfuerzo puntual. Y luego viene la reflexión comercial: ¿Qué gano yo? ¿Cuál es realmente el riesgo? ¿Merece la pena el esfuerzo?

Por eso al final nos quedamos con un modelo de dos sistemas. He convencido a algunos socios para que configuren el acceso a Tuta o para que yo lo configure por ellos, o al menos para que acepten mis correos electrónicos encriptados de Tuta en su buzón normal, los abran mediante un enlace y un navegador y también respondan encriptados. Esto lo utilizamos específicamente para temas especialmente delicados, para mandatos conjuntos o si queremos utilizar el principio de doble control. La mayoría de los colegas siguen utilizando su sistema habitual para la comunicación diaria. Aún no he conseguido cambiarlo.

A pesar de las peculiaridades conocidas, la gente prefiere seguir con lo que está acostumbrada. Es el clásico análisis de riesgos y beneficios. Así que yo mismo utilizo un doble enfoque: Tuta Mail para los asuntos delicados, es decir, prácticamente toda mi comunicación con los clientes, y Outlook para el resto. En última instancia, también se trata de la encriptación segura de los correos electrónicos en el servidor de correo, que en mi caso es Tuta.

Pregunta: Es una solución inteligente. ¿Cómo valora la estrategia de Microsoft de trasladar todo a la nube y los problemas de protección de datos asociados, también en relación con el posible acceso de EE.UU. a los datos? Es un riesgo considerable para un bufete de abogados. ¿La nube estadounidense -incluso si los datos se almacenan en servidores alemanes- es realmente una opción prohibida para los bufetes de abogados?

Respuesta: Absolutamente. Por eso espero que aún consigamos migrar completamente en los próximos años. Una vez realizado el cambio a Tuta, todo funciona como antes. Gracias a la aplicación y al cliente de escritorio, puede utilizar Tuta Mail en cualquier lugar. A diferencia de Outlook, con el que hay que trabajar vía IMAP según el cliente, todo es mucho más sencillo.

Lea la comparación detallada entre Tuta Mail y Outlook.

Pregunta: Ahora a usted: ¿Podría presentarse brevemente a sí mismo y a su bufete? ¿En qué está especializado?

Respuesta: Con mucho gusto. Somos un bufete de tamaño medio con oficinas en Hamburgo, Berlín, Potsdam, Schwerin, Rostock y también en el extranjero. Nos centramos en el asesoramiento a empresas medianas, pero también a clientes particulares, principalmente en derecho mercantil y fiscal. Somos abogados, asesores fiscales y auditores.

Aquí, en Schwerin, tenemos un departamento fiscal que se ocupa de todos los asuntos fiscales de nuestros clientes, desde la contabilidad hasta las declaraciones fiscales y los estados financieros anuales. Yo mismo soy abogado especializado en derecho fiscal y llevo muchos años ocupándome intensamente de cuestiones de derecho fiscal, especialmente en casos críticos: auditorías fiscales difíciles, declaraciones voluntarias, procedimientos penales por presunta evasión fiscal. Aquí es donde entro yo.

También presto apoyo en la redacción de contratos, especialmente cuando el objetivo es la optimización fiscal. Esto no es algo que un asesor fiscal tradicional pueda hacer solo; requiere un abogado especializado para su aplicación. Por lo tanto, a menudo soy el enlace entre las cuestiones fiscales y su aplicación jurídica, por ejemplo en el caso de estructuras de derecho de sociedades, testamentos, contratos matrimoniales o cuestiones delicadas similares.

Pregunta: Se trata de datos muy sensibles. Entiendo por qué se alegró cuando Tutanota salió al mercado.

Respuesta: Por supuesto. Para mí fue una justificación interna para ocuparme intensamente de la tecnología. Lleva tiempo, además del trabajo profesional, los clientes, la jurisprudencia, la legislación. Pero como abogado fiscalista en particular, donde a menudo tratamos con datos muy sensibles, algunos de los cuales son relevantes para el derecho penal, era importante para mí. Quiero que mi comunicación sea tan segura como una conversación confidencial en una sala segura.

Activa la privacidad con un solo clic.

Pregunta: Es una actitud estupenda, que nos gustaría ver más a menudo. Sorprendentemente, la tendencia actual va en la buena dirección. Cuando vemos escándalos como el de las facturas manipuladas a través de correos electrónicos pirateados que hemos mencionado, ¿qué papel cree que desempeñará la comunicación segura en el futuro?

Respuesta: Será cada vez más importante. Me preocupan dos hechos: en primer lugar, la tendencia en Estados Unidos a que el Presidente reclame para sí un ámbito que no está sujeto a revisión judicial. Esto es difícilmente comprensible desde nuestro punto de vista jurídico en Alemania, pero allí se toma en serio. Así pues, la protección jurídica prácticamente ya no existe en estos ámbitos.

Por supuesto, esto también afecta a las empresas que están sujetas a la legislación estadounidense, a la Patriot Act y a la soberanía digital. Incluso si los servidores se encuentran en Europa: si a una empresa estadounidense se le pide que entregue datos a las autoridades estadounidenses, tiene que hacerlo. Promesas como “No lo haremos” no valen nada en caso de emergencia. Esto también se aplica a Microsoft.

Por otro lado, en Europa se están haciendo esfuerzos políticos para debilitar el cifrado mediante puertas traseras. El llamado control del chat, por ejemplo: Pretenden permitir un buen cifrado, pero dar acceso a las autoridades investigadoras. Un no-go para mí como abogado. No hay puertas traseras sólo para los buenos. Una vez que tienes acceso, acabas abriendo la puerta a otros.

Pregunta: Volvamos a la soberanía digital en Europa. ¿Dónde estaremos dentro de cinco años? ¿Seguirán las autoridades utilizando Microsoft?

Respuesta: Espero que no, o al menos no en su forma actual. Hay acercamientos, por ejemplo en Schleswig-Holstein, pero me temo que no estaremos ahí dentro de cinco años. Quizá en diez. Un problema importante es el asesoramiento informático que prestan las autoridades. A menudo se ciñen a sus normas porque funciona. Los problemas o inquietudes suelen suprimirse.

Lo vemos con el expediente electrónico del paciente. Es básicamente bueno, pero está mal implementado. En lugar de hacerlo siempre todo desde cero, las autoridades podrían utilizar enfoques de código abierto y basarse en ellos, como Nextcloud o Tuta Mail, en Alemania hay muchas empresas buenas. En lugar de eso, la rueda se reinventa constantemente y cada uno prepara su propia sopa. Eso cuesta tiempo y dinero y no consigue nada.

Pregunta: Por último: ¿Qué consejo tiene para los bufetes de abogados que aún no están seguros de si deberían pasarse a la comunicación cifrada?

Respuesta: Háganlo. Empiece poco a poco, como yo. Cree una cuenta Tuta y utilícela para las comunicaciones confidenciales. Ofrézcasela a sus clientes. Deje que crezca poco a poco sin cambiarlo todo de inmediato. No tenga miedo a la tecnología: ese sería mi consejo.

Pregunta: Así que ve a por ello. Ese también es siempre mi consejo. Hay que dar pequeños pasos para mejorar la protección de datos y la seguridad, porque desgraciadamente no hay un interruptor mágico que sólo haya que pulsar una vez. Pero con pequeños pasos se puede llegar muy lejos. Sr. Baenz, muchas gracias por la entrevista; ¡me gustaría volver a charlar pronto!

Respuesta: Muchas gracias, ha sido un placer.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.