924 09 06 08

Fuga de información en la empresa: cómo identificar al responsable

Forenlab Peritos Informáticos fuga de información · empresa · investigación interna

Fuga de información en la empresa: cómo identificar al responsable

Cuando una empresa detecta que información confidencial ha llegado a un competidor, a un cliente robado o a la prensa, la pregunta es siempre la misma: ¿quién la sacó?. Identificar al responsable de una fuga de información es una de las investigaciones más complejas de la informática forense porque combina análisis técnico de múltiples fuentes, conocimiento del entorno corporativo y, casi siempre, implicaciones laborales y procesales delicadas. Esta guía explica cómo Forenlab aborda este tipo de casos.

Tipologías habituales de fuga

Antes de investigar, conviene clasificar el tipo de fuga porque cada una tiene un patrón técnico distinto:

Tipo de fugaVector típicoIndicios
Empleado descontento que se va a la competenciaUSB, cloud personal, emailPicos de descarga antes del despido
Espionaje industrialAcceso remoto, persistenciaConexiones inusuales, malware
Fuga accidental por falta de formaciónEmail mal dirigido, cloud públicoHistórico de correos a externos
Filtración a prensaFotos, capturasActivad de captura de pantalla
Robo o pérdida de dispositivoMóvil, portátil, USBFalta del dispositivo
Compromiso de credencialesPhishing, password reuseAccesos desde IPs anómalas

Identificar la tipología orienta el plan de trabajo y reduce el alcance del peritaje.

Pasos de la investigación

1. Análisis del alcance

El primer paso es definir, junto con la empresa, qué información se ha fugado, cuándo se detectó, cómo se detectó y quiénes pudieron tener acceso (perímetro de sospechosos). Esto evita peritar 200 ordenadores cuando solo 5 personas tenían acceso al material.

2. Aseguramiento de evidencias

Antes de tocar ningún equipo, el perito clona forense de:

  • Los equipos de los empleados con acceso.
  • Servidores donde estaba el material fugado.
  • Logs centrales: AD, firewall, proxy, DLP, EDR.
  • Buzones de correo (con autorización de la dirección).
  • Accesos cloud (Microsoft 365, Google Workspace).

Es crucial no avisar a los sospechosos durante esta fase para evitar la destrucción de evidencias.

3. Análisis de actividad

Sobre los clones, el perito busca patrones que delaten la fuga:

  • Conexiones de USB: histórico completo de dispositivos conectados (registro USBSTOR en Windows, IOUSBHostFamily en macOS) con fecha-hora y serial.
  • Volúmenes de archivos copiados a USB o cloud privado.
  • Correos enviados a direcciones externas, especialmente con adjuntos voluminosos.
  • Subidas a servicios cloud (Google Drive, Dropbox, OneDrive personal): el navegador deja huellas.
  • Capturas de pantalla del material confidencial guardadas en local.
  • Impresiones: historial del servidor de impresión.
  • Accesos a archivos sensibles: timestamps de “última lectura” comparados con la actividad legítima.
  • Búsquedas en el ordenador del nombre del competidor o del nombre del archivo robado.
  • Comunicaciones entre empleados sospechosos.

4. Cruces y reconstrucción cronológica

El perito construye un timeline que cruza eventos:

14:32 - Empleado X conecta USB serial XYZ123 14:33 - Lee archivo “estrategia-Q3.xlsx” 14:35 - Copia archivo a USB 14:36 - Desconecta USB 14:42 - Borra archivo “estrategia-Q3.xlsx” del escritorio (intento de ocultación)

Este tipo de reconstrucción es lo que convierte indicios en una conclusión técnica defendible.

5. Confirmación cruzada

Antes de emitir conclusiones, el perito busca confirmaciones cruzadas en otras fuentes:

  • ¿Coincide el horario con la presencia física del empleado en oficina?
  • ¿Hay registros del control de accesos físicos?
  • ¿Hay correos posteriores que delaten conocimiento del material?
  • ¿La actividad coincide con el momento en que el empleado anunció su salida?

Cuantas más confirmaciones independientes, más sólida la atribución.

Pruebas que aportan más peso

Por experiencia, las pruebas más sólidas en este tipo de casos son:

  1. Conexión de USB con serial identificado: si la empresa puede acreditar a quién pertenece el USB, la atribución es directa.
  2. Subida a cuenta cloud personal con email del empleado: trazabilidad completa.
  3. Email enviado al externo desde el buzón corporativo del empleado: prueba prácticamente irrefutable.
  4. Registro de impresión del documento confidencial fuera de horario: combinable con control de accesos físicos.
  5. Búsquedas previas del nombre del archivo o del competidor: indica intencionalidad.

Consideraciones laborales y de protección de datos

Investigar a un empleado tiene límites legales. Forenlab opera siempre dentro de:

  • Política de uso de equipos corporativos firmada por el empleado en su contrato.
  • Política de privacidad y monitorización comunicada previamente.
  • Proporcionalidad: la investigación se limita a lo necesario.
  • Confidencialidad: la información obtenida solo se usa para el caso, no se comparte con terceros sin autorización.

Si la empresa no tiene política de uso clara, la investigación puede ser cuestionada y el despido puede declararse improcedente. Antes de investigar, el departamento legal debe revisar la base jurídica.

Despido procedente vs. improcedente

Si la investigación demuestra de forma clara la fuga, el despido por transgresión de la buena fe contractual (art. 54.2.d ET) tiene altas probabilidades de ser declarado procedente. Las claves son:

  • Calidad técnica del informe pericial.
  • Cumplimiento de las garantías (política previa, proporcionalidad).
  • **Demostración de la intencionalidad del trabajador.

En procedimientos donde no se cumplen estas garantías, los tribunales han declarado improcedente el despido pese a haber fuga real.

Cuándo escalar a querella

Si la fuga incluye:

  • Violación de secretos empresariales (Ley 1/2019).
  • Descubrimiento y revelación de secretos (art. 197-201 CP).
  • Acceso no autorizado a sistemas (art. 197 bis CP).

Entonces además del despido se puede interponer querella penal. El informe pericial es clave porque sostiene tanto la acción laboral como la penal.

Errores que destruyen la investigación

  1. Investigar sin política de uso firmada.
  2. Avisar al sospechoso antes de clonar evidencias.
  3. Manipular el ordenador del sospechoso sin clonado previo.
  4. Hacer la investigación con técnicos internos sin metodología forense.
  5. No documentar la cadena de custodia.

Cualquiera de estos errores puede dar al traste con la investigación y exponer a la empresa a una demanda por despido improcedente o vulneración de derechos.

Preguntas frecuentes

¿Cuánto tiempo lleva una investigación de fuga? Entre 3 y 8 semanas según el alcance. Las primeras conclusiones suelen estar en 1-2 semanas tras el clonado.

¿Cuál es el coste? Entre 3.000€ y 8.000€ según número de equipos y profundidad. Forenlab presupuesta cerrado tras analizar el alcance.

¿La empresa puede investigar el móvil personal del empleado? No, salvo que sea propiedad de la empresa. El móvil personal está protegido por la intimidad del trabajador.

¿Y si el sospechoso ya no trabaja en la empresa? La investigación se centra en el equipo corporativo que utilizó (que la empresa todavía tiene), en los buzones, en los logs centrales y en los registros de cloud. La salida del empleado no impide la investigación.

¿El informe sirve también para reclamar daños? Sí. Si se demuestra el daño económico (pérdida de cliente, pérdida de propiedad intelectual), puede sustentar una reclamación civil paralela.

Conclusión

Investigar una fuga de información requiere actuar con rapidez, confidencialidad y metodología forense. Sin clonado previo, sin cadena de custodia y sin política previa, la investigación puede destruir el caso. En Forenlab trabajamos casos de fuga de información para empresas de todos los tamaños con análisis forense completo, reconstrucción de cronología y informe defendible tanto en jurisdicción laboral como penal. Contáctanos si sospechas una fuga: respondemos en menos de 24 horas con confidencialidad asegurada.