General

Delitos informáticos en empresa: acceso no autorizado, daños y revelación de secretos

Delitos Informaticos Vicente Tovar
29
Ene
Los incidentes informáticos en empresa no son solo un problema de IT: pueden ser delito y, bien gestionados, permiten activar una vía penal eficaz. El error más frecuente es tratarlo como “conflicto interno” (empleado, ex-empleado, proveedor) y llegar tarde a la preservación de evidencias. Aquí abordamos tres bloques con alta intención de búsqueda y alta utilidad práctica: acceso no autorizado, daños informáticos y revelación/robo de secretos, incluyendo qué hay que documentar desde el minuto uno.

Acceso no autorizado: cuándo es delito

Suele encajar cuando alguien entra sin permiso o supera límites de acceso (por ejemplo, usando credenciales ajenas o manteniendo accesos tras finalizar relación laboral/mercantil). Indicadores típicos:
  • Uso de cuentas de otros usuarios.
  • Accesos fuera de horario o desde ubicaciones anómalas.
  • Persistencia tras baja (ex empleado/proveedor).
  • Escalada de privilegios (admin).

Prueba clave en empresa:

  • Logs de autenticación (SSO, AD, M365, Google Workspace).
  • Logs de VPN, firewall, EDR.
  • Trazas de acceso a repositorios (SharePoint, Drive, Git, CRM).
  • Inventario de permisos y cambios de roles.

Daños informáticos: más que “borrar archivos”

Los daños no son solo eliminar documentos. Pueden ser:
  • Borrado masivo.
  • Cifrado (ransomware).
  • Alteración de sistemas o datos.
  • Interrupción de servicio.
  • Sabotaje interno (scripts, borrados selectivos, manipulación de backups).

Lo que pide un juzgado para entender el daño:

  • Qué sistema afectó y cómo.
  • Impacto económico/operativo (horas paradas, coste de restauración, pérdida de facturación, etc.).
  • Evidencias técnicas: hash, backups, timeline del incidente.

Revelación de secretos y secretos empresariales: el caso “empleado/proveedor”

Aquí entran supuestos como:
  • Copiar bases de datos de clientes.
  • Extraer listados de precios, márgenes, contratos.
  • Compartir información confidencial con competidor.
  • Llevarse documentación a dispositivos externos.
Además de figuras penales vinculadas a descubrimiento y revelación de secretos o a secretos empresariales, en la práctica la clave es probar la extracción y la finalidad/uso.

Pruebas típicas útiles

  • DLP / CASB (si existe).
  • Logs de descarga masiva.
  • Conexión de USB, sincronización a nubes personales.
  • Envíos a correos personales o herramientas de mensajería.
  • Evidencia de acceso a carpetas “sensibles”.

Qué debe hacer una empresa en las primeras 24–72 horas

1) Preservación
  • Congelar cuentas (sin destruir evidencias).
  • Copia forense o preservación de logs con integridad.
  • No “formatear” ni “reinstalar” antes de asegurar evidencias.
2) Delimitación del incidente
  • Qué sistemas y periodos.
  • Qué usuarios.
  • Qué información afectada.
3) Cadena de custodia
  • Quién extrae qué evidencias, cuándo, dónde se guarda, cómo se asegura integridad.
4) Estrategia legal
  • Penal (denuncia con informe técnico).
  • Laboral (si es interno).
  • Civil/mercantil (medidas y reclamación).
  • Protección de datos (si hay brecha con datos personales: análisis RGPD/LOPDGDD y, si procede, notificación).

Conclusión

Los delitos informáticos en empresa se ganan o se pierden en los primeros días: logs, preservación y relato técnico-jurídico coherente. Una denuncia sin evidencias técnicas suele quedarse en “sospecha”; una denuncia con trazas y timeline suele activar investigación real.