Gestión de riesgos

El secreto empresarial: perspectivas informático-forenses

Alejandro Rivas-Vásquez
Socio responsable de Digital Forensics & Incident Response
20 enero, 2022

Cuando pensamos en secretos empresariales seguramente se nos viene a la mente la fórmula de la Coca-Cola. Pocos seremos los que pensemos en los címbalos o platillos de Zildjian, utilizados por baterías tan iconos como Ringo Starr de los Beatles.

La leyenda de la formula Zildjian se remonta a 1623. Dice su historia que Avedis, alquimista Armenio al servicio del Sultán Otomano Mustafa I, descubrió su fórmula combinando cobre y otros metales llegando a conseguir un sonido y durabilidad inigualable. El Sultán, tan impresionado con el resultado, le otorgó 80 monedas de oro y un contrato con el ejercito Otomano en Constantinopla, nombrándole Avedis Zildjan o Avedis “Fabricante de Címbalos”.

Los secretos empresariales pueden ser más que fórmulas secretas

Casi ya 400 años más tarde, la fórmula sigue siendo protegida por la 14ª generación de la familia Zildijan. Esto no solo les convierte en una de las empresas familiares más longevas del mundo, sino en guardianes del que quizás sea el secreto empresarial más antiguo de nuestra historia.

El viaje del secreto empresarial: De Constantinopla a España

Los secretos empresariales pueden ser más que formulas secretas. En España la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (`LES´) lo define como “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.” Así pues, podríamos considerar secretos empresariales aquellos planes estratégicos ya sean comerciales o de M&A, así como algoritmos o incluso la analítica resultante de estos, entre otros.

Secreto empresarial es toda información o contenido, por lo que un plan estratégico, ya sea comercial o de M&A también lo sería

El Articulo 1 de la LES nos explica, en mayor profundidad, tres condiciones que la información o conocimiento debe reunir para considerarla secreto empresarial:

  1. Ser secreto
  2. Tener un valor empresarial, ya sea real o potencial… por ser secreto… 
  3. Contar con medidas razonables para mantenerlo en secreto.

Ese último punto es clave y donde es necesario asesoramiento experto, ya que, sin medidas de protección razonables y acreditables, es poco probable que la información o conocimiento sea considerada secreto empresarial.

Cómo proteger el secreto

En una parte significativa de las actuaciones informático-forenses nos encontramos con importantes deficiencias en el entorno de control que pueden afectar nuestras conclusiones, por ejemplo:

  • Documentos que no han sido marcados como internos y confidenciales.
  • Información confidencial en carpetas de red compartidas con personal no autorizado. Estructura de red informática deficiente, sin segmentación.
  • Registros de seguridad incompletos que impiden determinar quién accedió a información confidencial y cuándo se accedió a esta.
  • Falta de políticas internas que permitan la monitorización y análisis de medios informáticos propiedad de la empresa, dentro del marco legal vigente.

Para la aplicación de medidas de protección razonables y acreditables al secreto empresarial, lo más recomendable es considerar lo siguiente:

  1. Gobierno: tener políticas y procedimientos, que recojan su definición, objeto, alcance, así como medidas mínimas de control.
  2. Clasificación: no solo lo que se considera secreto empresarial, sino diferenciar otras categorías: la documentación electrónica o impresa debería de estar marcada / identificada según la clasificación asignada (ejem. “Interno Confidencial”).
  3. Controles: por medio de restricciones de acceso con usuario y contraseña, así como con cifrado (en particular para su transmisión electrónica).
  4. Formación: periódica para empleados y en particular directivos con acceso a secretos empresariales.
  5. Clausulados: que ofrezcan cobertura especifica con empleados y terceros.
  6. Protocolos: para detectar e investigar posibles irregularidades, con herramientas informáticas que faciliten estas actividades.

Pero, ¿de quién nos protegemos?

Tras una década en la que los ciberataques continúan dominando los telediarios y cuando la mayoría de la información empresarial se encuentra ya digitalizada, seguramente pensemos que la protección es contra hackers de países remotos. Lamentablemente, en el ámbito de secretos empresariales, cada vez con mayor frecuencia son personas de confianza quienes comparten o utilizan información ilícitamente, no solo desde el punto de vista de la LES sino del Código Penal y del ámbito de Competencia Desleal.

Información Saliente

Personal clave con acceso a secretos empresariales que descargan este tipo de información a un USB, la reenvían a una cuenta de correo externa o la suben a un portal externo (ejem. Dropbox). Esta actividad normalmente empieza días o semanas previas a causar baja para posteriormente incorporarse en una empresa de la competencia.

Para mitigar estos riesgos es importante seguir las recomendaciones ya mencionadas. Y, en caso de sospechas, los dispositivos informáticos deberían de ser preservados de forma forense y analizados para determinar si ha habido irregularidades en la gestión de la información confidencial, y en su caso, reportarlas en un informe informático pericial como parte de los procedimientos judiciales /civiles aplicables.

Información Entrante

Puede darse el caso de que nuevos empleados que traen información de su antigua empresa la carguen y compartan en carpetas o por correo electrónico, utilizándola para el desempeño de sus nuevas funciones y, en consecuencia, contaminando la empresa con información adquirida ilícitamente.

De igual forma encontramos situaciones en las que la información ha llegado a la empresa previamente a la incorporación del nuevo empleado.

Al igual que en el punto anterior, aquí es imprescindible aplicar las recomendaciones de Protección. Y, en caso de sospechas, también es recomendable seguir los protocolos de investigación de irregularidades.

¿Cuál es el riesgo y para quién?

La violación de secretos empresariales está tipificada en la misma LES, Capitulo II, Articulo 3, con acciones civiles contempladas en el Articulo 9.

Por otro lado, en el Código Penal resaltamos del Artículo 278 “…El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos… será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses…”. Mientras que el Articulo 279 indica “…La difusión, revelación o cesión de un secreto de empresa… se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses…”

Consecuentemente, el riesgo de apropiación de nuestros secretos empresariales o de que utilicemos ilícitamente los de un tercero, debería de estar considerado en el mapa de riesgos de nuestra empresa: información saliente y entrante.

Ya argumentamos que el amparo que brinda la LES puede depender de las medidas de protección implantadas para mantener el secreto, valga la redundancia, secreto. Por ello, la importancia de que estas medidas sean acreditables, es decir que estén evidenciadas y que puedan ser comprobadas por un perito informático en caso de sospechas de irregularidades.

Finalmente, no olvidemos que las medidas de protección son clave en ambas casuísticas: información saliente y entrante. La defensa técnica contra querellas por violación de secretos empresariales podría, en parte, oscilar sobre este eje.

Te ayudamos a proteger tu Secreto Empresarial
Descubre cómo

Artículos relacionados