Resiliència jurídica davant l'ofensiva digital del 2026

Articles21 de gener del 2026
Manuel Asenjo, CIO a ECIJA, analitza el nou panorama del risc cibernètic, la pressió reguladora de la NIS2 i els reptes estratègics per als despatxos d'advocats.

A mesura que s'acostava el 2025, molts de nosaltres esperàvem un respir tecnològic; tanmateix, les dades de principis del 2026 confirmen que la pressió sobre la nostra infraestructura no només persisteix, sinó que s'ha tornat més sofisticada gràcies a noves eines i la IA. Com a responsables de tecnologia i seguretat en despatxos d'advocats, no podem ignorar que el risc cibernètic és ara la principal preocupació del 48 % de les empreses espanyoles, per davant de qualsevol altra contingència operativa.


L'Alerta d'Infraestructures Crítiques i el Marc Normatiu

L'incident més destacat fins ara aquest any, el ciberatac a Endesa i Energía XXI, hauria de servir d'advertiment per a tots nosaltres (ja sabem que hem d'estar alerta). Tot i que va afectar el sector energètic, la metodologia és un toc de campana per a tothom: un accés no autoritzat va exposar les dades de milions de clients, incloent-hi noms, números d'identificació nacional i IBAN (només amb aquesta informació es pot cometre frau telefònic o estafes).


És un recordatori de la vulnerabilitat dels grans ecosistemes. En un bufet d'advocats, una bretxa d'aquesta magnitud no només compromet les dades financeres, sinó que també soscava el pilar fonamental del nostre sector: el secret professional i la confiança del client.


El repte no és només operatiu, sinó també regulador. Ens trobem en un moment crític amb la imminent transposició de la Directiva NIS2 a Espanya. Aquesta regulació no és "només una altra regulació"; és un canvi de paradigma que ens obliga a elevar la ciberseguretat al nivell de la governança corporativa. Per a les empreses que actuen com a proveïdors crítics per a sectors essencials o que assoleixen el llindar d'entitats significatives, la NIS2 introdueix:

  • Responsabilitat de l'alta direcció: Els socis gestors ja no podran delegar la ciberseguretat com una qüestió purament de TI; seran directament responsables del compliment, la qual cosa pot comportar conseqüències penals i personals (multes de milions de lliures, inhabilitacions, entre d'altres).
  • Gestió de la cadena de subministrament: Haurem d'auditar no només la nostra pròpia seguretat, sinó també la de tots els nostres proveïdors tecnològics. La manca de fer-ho podria comportar responsabilitat, fins i tot si el nostre proveïdor és el responsable.
  • Notificació estricta: terminis de 24 hores per a les notificacions anticipades d'incidents significatius. En comparació amb el RGPD, això és molt més curt.


Radiografia de la "Amenaça" el 2026

L'entorn actual es caracteritza per tres vectors crítics que NIS2 pretén mitigar i que hem d'abordar urgentment:

  • Augment del ransomware: Amb un augment global del 60 % interanual i una mitjana de 1.883 atacs per setmana a Espanya, grups com Qilin i LockBit5 estan demostrant capacitats de disruption sense precedents. El ransomware és, de fet, l'amenaça més temuda pel 60 % de les organitzacions a causa de la seva eficàcia i grau d'èxit tant en la infecció com en el retorn econòmic.
  • Compromís de la identitat: el gener ha estat marcat per atacs que utilitzen credencials legítimes per moure's lateralment dins de les organitzacions. En el sector jurídic, on l'accés remot als fitxers és la norma, protegir la identitat digital és el nostre enllaç més crític. Els nostres advocats treballen cada vegada més en ubicacions remotes, a les llars dels clients, a estacions, aeroports. Això fa que el perímetre sigui cada vegada més gran i més complicat de defensar.
  • Exfiltració i suplantació d'identitat (phishing): Més enllà del xifratge de dades, el robatori de credencials i l'exfiltració d'informació sensible s'estan convertint en les tàctiques preferides per extorsionar empreses. En aquest punt, no hem d'oblidar els actors interns. En el paradigma de Confiança Zero, la màxima és que no ens hem de fiar de ningú. Les amenaces poden provenir de l'exterior o de l'interior, i aquestes últimes són les més perilloses. El robatori de credencials sense que se n'adoni, els empleats que accidentalment (descàrrega massiva d'informació per comoditat o per treballar sense connexió) o per ràbia contra l'empresa poden posar-nos en situacions crítiques i inesperades, són elements que cal tenir en compte.

Aquí, els sistemes NDR (Detecció i Resposta de Xarxa), eines que aprenen els patrons d'usuari detectant, informant i responent a accions inusuals, i els sistemes DLP (Prevenció de la Pèrdua de Dades), dissenyats específicament per detectar filtracions d'informació, seran els nostres millors aliats.


Full de ruta per al CIO/CISO jurídic

Donat aquest escenari, la nostra estratègia per a aquest any no pot ser reactiva i ha de ser doble: protegir les 'dades' i complir amb la normativa.


  • Governança i formació (requisit de la NIS2): És imperatiu formar els òrgans de gestió. La ciberseguretat és ara un risc legal i financer important.
  • Adopció del Zero Trust: Valideu cada accés, especialment en el teletreball, per evitar els moviments laterals que hem vist en atacs a principis d'any.
  • Resiliència operativa: la prevenció no n'és suficient; cal estar preparat per recuperar l'empresa en hores, no en dies, en cas d'un xifratge del sistema.

Conclusió: De la reactivitat a l'excel·lència operativa

El 2026 ha començat amb una pressió cibernètica implacable i un marc regulador, la NIS2, que ens exigirà excel·lència. Ja no n'hi ha prou amb ser "reactiu" ni confiar en solucions perimetrals tradicionals. El fet que gairebé la meitat de les empreses espanyoles considerin el risc cibernètic la seva principal amenaça reflecteix una maduresa en la percepció del perill, però ara aquesta percepció s'ha de transformar en inversió i cultura institucional.


Per a un bufet d'advocats, la ciberseguretat no és un cost informàtic, sinó la salvaguarda de la nostra reputació i del secret professional. Complir la NIS2 i mitigar l'augment del 9 % en la freqüència dels atacs no és només una obligació legal; és un avantatge competitiu.


Aquelles empreses que aconsegueixin integrar la seguretat en l'ADN de la seva pràctica jurídica no només sobreviuran a l'onada de ransomware d'enguany, sinó que s'establiran com els socis de confiança que el mercat exigeix en un entorn digital hostil. La nostra missió com a CIO i CISO és liderar aquest canvi, assegurant que, a mesura que el món digital es torna més complex, la confiança dels nostres clients es mantingui inalterable.


Accediu a l'article complet publicat a Law & Trends aquí.

Una imagen en blanco y negro de un puente con cables tensados contra un cielo nublado.
  • Inteligencia Artificial

ACTUALITAT #ECIJA