«Cuando un empleado roba documentación de la empresa, ¿cómo debe procederse desde un punto de vista forense y jurídico?». Este tipo de consultas son cada vez más frecuentes, ya que la sustracción de activos es el delito más común entre los empleados de organizaciones, de acuerdo con un informe de la asociación ACFE. No hace falta señalar que la información —know how, carteras de clientes, secretos tecnológicos, etcétera— es hoy el activo más valioso.
Por lo general, el robo de datos en empresas se produce a través de medios como el correo electrónico, ya sea desde la cuenta facilitada por la corporación o la personal del empleado, utilizando archivos adjuntos para liberar grandes paquetes de información. Los pendrives, las tarjetas SD y otros dispositivos de almacenamiento externo también pueden configurarse para realizar backups de los sistemas y redes de la empresa.
En los últimos años, el almacenamiento in cloud se ha convertido en un mecanismo recurrente en casos de robo de información, por la facilidad para subir volúmenes ingentes de datos a la nube, donde terceros pueden acceder y realizar nuevas copias de ellos. Plataformas como Dropbox, Google Drive u OneDrive son las más utilizadas.
Respecto a qué hacer cuando un trabajador roba clientes, la primera medida es contactar con peritos forenses, especialistas en cuantificar la gravedad de la infracción y de poner en claro los medios tecnológicos y electrónicos que fueron utilizados para cometer el delito. Además, estos profesionales orientan a la empresa en los pasos legales a seguir tras la apropiación indebida de documentos, archivos, etcétera.
Pasando a la acción: ¿qué hacer después del robo de datos de una empresa?
Las víctimas de ataques y brechas de seguridad en empresas son los clientes de la misma, no sólo la propia organización. Por consiguiente, esta asume una serie de responsabilidades legales relativos a la autogestión de los archivos. De acuerdo con la RGPD (Reglamento Europeo de Protección de Datos), las empresas afectadas están obligadas a notificar el incidente a las autoridades competentes, que en el marco español se corresponde con la Agencia Española de Protección de Datos (AEPD), para abrir una investigación de oficio.
Por otra parte, robar la base de datos de una empresa u otro activo intangible acarrea consecuencias legales para el ciberdelincuente o grupo de ciberdelincuentes, ya que es delito sacar información de una empresa, conforme al artículo 279 recogido en el Código Penal.
Dicho artículo establece que «la difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses».
Sin embargo, las organizaciones víctimas de la apropiación indebida de información —uno de los delitos informáticos más frecuentes— deben permanecer alerta en caso de resolver el caso por vía judicial: entre 2013 y 2020, los trabajadores ganaron el 78% de las demandas que terminaron en juicio, según datos del Ministerio del Trabajo.
Tradicionalmente se repite que «sin cadáver, no hay delito», y esta verdad a medias es aplicable a la sustracción de activos documentales de una empresa. Los accesos no autorizados, el uso de pendrives, la manipulación de archivos digitales y otras malas prácticas dejan un rastro, una huella rastreable por los expertos en informática forense.
Así, el peritaje informático forense es un servicio indispensable para las víctimas de este delito cibernético, pues su única opción de ganar el caso y evitar un empeoramiento de la situación es recopilar y ratificar las evidencias digitales siguiendo la cadena de custodia o CdC.