· Jonathan Izquierdo · Forense corporativo  ·

10 min de lectura

Insider threats: Investigación forense de empleados desleales

El 30% de las filtraciones de datos en empresas tienen origen interno. Guía para RRHH, compliance y abogados laboralistas sobre cómo investigar y documentar casos con validez legal.

El 30% de las filtraciones de datos en empresas tienen origen interno. Guía para RRHH, compliance y abogados laboralistas sobre cómo investigar y documentar casos con validez legal.

“Sabemos que fue él. Pero no tenemos pruebas.”

Es la frase que más escucho cuando una empresa me llama por un caso de empleado desleal. El director general está convencido, RRHH tiene sospechas, el abogado laboralista necesita evidencia sólida… y nadie sabe cómo conseguirla legalmente.

Según los informes de ciberseguridad, aproximadamente el 30% de las brechas de datos en empresas tienen origen interno. No hablamos de hackers sofisticados: hablamos de empleados con acceso legítimo que abusan de su posición.

Esta guía está pensada para directores de RRHH, responsables de compliance y abogados laboralistas que necesitan investigar y documentar casos de empleados desleales con validez legal.

Qué es exactamente un insider threat

Un insider threat es cualquier amenaza que proviene de personas con acceso legítimo a los sistemas de la organización. No todos son iguales:

El empleado negligente

No tiene intención maliciosa, pero su descuido causa daños:

  • Comparte credenciales con compañeros
  • Usa servicios cloud no autorizados para trabajar
  • Envía información sensible por email personal
  • Pierde dispositivos con datos de la empresa

Representa el 60% de los incidentes internos, pero el daño suele ser limitado.

El empleado malicioso

Actúa deliberadamente contra los intereses de la empresa:

  • Roba información para la competencia
  • Sabotea sistemas antes de marcharse
  • Filtra datos confidenciales por venganza
  • Monta negocio paralelo con recursos de la empresa

Es el 25% de los casos, pero causa el mayor daño económico y reputacional.

El empleado comprometido

Sus credenciales han sido robadas o manipuladas:

  • Víctima de phishing dirigido
  • Chantajeado por terceros externos
  • Coaccionado por competidores o criminales

Representa el 15% restante y a menudo es el más difícil de detectar.

Señales de alerta: cuándo sospechar

En mis investigaciones, estos patrones se repiten:

Indicadores de comportamiento

  • Horarios inusuales: accesos a sistemas fuera de jornada laboral
  • Volumen anómalo: descargas masivas de archivos
  • Cambio de actitud: empleado antes comprometido que se vuelve distante
  • Búsqueda de empleo: actividad en LinkedIn, entrevistas, etc.
  • Resentimiento visible: conflictos con superiores, quejas sobre la empresa
  • Situación económica: problemas financieros conocidos

Indicadores técnicos

  • Uso de dispositivos USB no autorizados
  • Envío de archivos a correos personales
  • Acceso a carpetas fuera de su ámbito habitual
  • Instalación de software de sincronización cloud
  • Conexiones a VPN personales desde equipos corporativos
  • Borrado selectivo de históricos o logs
Cuidado con los falsos positivos

He visto empresas que despiden por sospechas infundadas. No todo comportamiento inusual es malicioso. Un empleado puede descargar archivos masivamente porque está preparando una presentación importante. La investigación forense distingue lo sospechoso de lo delictivo.

Antes de investigar a un empleado, necesitas conocer los límites legales. España tiene un marco específico:

Derechos fundamentales en juego

La investigación interna puede colisionar con:

  • Derecho a la intimidad (art. 18.1 CE)
  • Secreto de las comunicaciones (art. 18.3 CE)
  • Protección de datos personales (RGPD y LOPDGDD)
  • Derechos laborales (Estatuto de los Trabajadores)

La doctrina del Tribunal Supremo

El TS ha establecido criterios claros sobre monitorización de empleados:

Sentencia 119/2018: la empresa puede monitorizar el uso de medios informáticos si:

  • Existe política de uso conocida por el empleado
  • Se ha informado de la posibilidad de control
  • La monitorización es proporcional al fin legítimo

Sentencia 489/2018: el acceso al correo corporativo es válido si:

  • El empleado sabía que el correo era para uso profesional
  • Se le informó de que podía ser revisado
  • Existen indicios previos de irregularidad

El papel de la AEPD

La Agencia Española de Protección de Datos ha multado a empresas por investigaciones mal ejecutadas:

  • Acceso a correo personal del empleado: multas de hasta 100.000€
  • Monitorización sin información previa: sanciones graves
  • Conservación excesiva de datos de empleados: infracciones RGPD

Mi recomendación: consulta con abogado laboralista antes de iniciar cualquier investigación.

Cuándo SÍ necesitas investigación forense

No todos los casos de sospecha requieren perito, pero sí estos:

Sospecha de robo de información comercial

Si crees que un empleado está llevándose:

  • Base de datos de clientes
  • Información de precios y márgenes
  • Documentación técnica o patentes
  • Estrategias comerciales confidenciales

El análisis forense puede determinar:

  • Qué archivos accedió y cuándo
  • Si los copió a dispositivos externos
  • A qué direcciones los envió
  • El alcance exacto de la filtración

Preparación de despido disciplinario

Si vas a despedir por causa grave relacionada con uso indebido de sistemas:

  • Necesitas prueba sólida que resista impugnación
  • El empleado probablemente demande por despido improcedente
  • Sin evidencia forense válida, perderás el juicio

Daño ya materializado

Si ya ha ocurrido:

  • La competencia tiene información que solo podía salir de dentro
  • Han aparecido documentos internos en internet
  • Un ex empleado ha montado negocio con vuestros clientes
  • Hay sabotaje evidente en sistemas

El peritaje permite:

  • Reconstruir qué pasó exactamente
  • Identificar al responsable con certeza
  • Cuantificar el daño para reclamación
  • Generar evidencia para denuncia penal

Cumplimiento normativo

Ciertos sectores tienen obligaciones específicas:

  • Sector financiero: MiFID II, compliance bancario
  • Sector sanitario: protección de historiales clínicos
  • Infraestructuras críticas: NIS2, requisitos de seguridad

Un incidente interno puede requerir investigación forense para demostrar diligencia debida ante reguladores.

Metodología de investigación forense

Mi aproximación a casos de insider threats sigue un protocolo estricto:

  1. Análisis preliminar - valoración del caso sin alertar al sospechoso
  2. Preservación de evidencia - copia forense de dispositivos y logs
  3. Análisis de actividad - reconstrucción de acciones del empleado
  4. Correlación de fuentes - cruce de datos de múltiples sistemas
  5. Timeline forense - línea temporal completa de los hechos
  6. Identificación de exfiltración - qué salió y por dónde
  7. Informe pericial - documento válido para procedimiento laboral o penal

Fase 1: Preservación silenciosa

Antes de que el empleado sepa que está siendo investigado:

Sistemas a preservar:

  • Logs de acceso a servidores y aplicaciones
  • Registros de correo electrónico corporativo
  • Actividad en servicios cloud corporativos
  • Histórico de conexiones VPN
  • Registros de impresión
  • Accesos físicos (tarjetas, cámaras)

Lo que NO debes hacer:

  • Alertar al empleado de la investigación
  • Acceder tú mismo a su equipo o correo
  • Modificar configuraciones de sistemas
  • Borrar nada “para proteger a la empresa”

Fase 2: Análisis del puesto de trabajo

Con autorización legal adecuada:

Equipo informático:

  • Imagen forense del disco duro completo
  • Análisis de archivos eliminados (recuperables)
  • Histórico de navegación y descargas
  • Dispositivos USB conectados
  • Software instalado (incluyendo herramientas de limpieza)

Correo electrónico:

  • Mensajes enviados y recibidos
  • Archivos adjuntos
  • Carpetas eliminadas
  • Reglas de reenvío configuradas

Servicios cloud:

  • Actividad en OneDrive, Google Drive, Dropbox
  • Archivos sincronizados externamente
  • Comparticiones con terceros

Fase 3: Reconstrucción de la exfiltración

El objetivo es responder:

  • Qué: exactamente qué información salió
  • Cuándo: fechas y horas precisas
  • Cómo: por qué canal (USB, email, cloud, impresión)
  • A quién: destino de la información

Casos reales que he investigado

El comercial que se llevó la cartera de clientes

Situación: Comercial estrella dimite y monta empresa competidora. En semanas, varios clientes importantes se van con él.

Investigación: Análisis forense de su equipo corporativo reveló:

  • 3 semanas antes de dimitir, conectó USB personal
  • Copió la base de datos completa de clientes (47.000 registros)
  • Envió emails a su correo personal con información de pricing
  • Borró el histórico de navegación (pero quedaban rastros forenses)

Resultado: Despido procedente confirmado, demanda civil por competencia desleal, el tribunal ordenó cesar el uso de la información y indemnización de 180.000€.

El administrador de sistemas resentido

Situación: Empresa despide a sysadmin por reducción de plantilla. Dos meses después, sufren caída de sistemas y pérdida de datos.

Investigación: El análisis reveló:

  • Antes de marcharse, creó cuenta de administrador oculta
  • Instaló script programado para ejecutarse 60 días después
  • El script borró bases de datos y backups accesibles
  • Usó credenciales de la cuenta oculta desde su casa

Resultado: Denuncia penal por daños informáticos (art. 264 CP), condena a 2 años de prisión y responsabilidad civil de 320.000€.

La directora financiera con doble juego

Situación: Auditoría interna detecta pagos irregulares a proveedores ficticios.

Investigación: El peritaje de su equipo mostró:

  • Creación de facturas falsas desde su ordenador
  • Emails con terceros coordinando el esquema
  • Transferencias desde cuentas que solo ella controlaba
  • Intentos de borrado masivo justo antes de la auditoría

Resultado: Despido disciplinario procedente, denuncia por apropiación indebida, condena penal y embargo de bienes.

Patrón común

En el 80% de los casos que investigo, el empleado desleal intenta borrar evidencia antes de marcharse. Por eso es crucial actuar rápido y preservar antes de que sepan que están siendo investigados. Los borrados, además, son evidencia adicional de mala fe.

Errores que invalidan la investigación

Problema: RRHH accede al correo del empleado “por si acaso”.

Consecuencia: La prueba es nula, la empresa puede ser sancionada por la AEPD, y el empleado gana el juicio por vulneración de derechos fundamentales.

Solución: Tener política de uso de medios informáticos firmada, indicios previos documentados, y asesoramiento legal antes de actuar.

Error 2: Contaminar la evidencia

Problema: El jefe directo “echa un vistazo” al ordenador del sospechoso.

Consecuencia: La defensa impugna la prueba alegando manipulación. Sin cadena de custodia, no hay garantía de integridad.

Solución: Nadie toca el equipo hasta que llegue el perito. Ninguna excepción.

Error 3: Alertar al sospechoso

Problema: Se comenta en la empresa que “están investigando a fulanito”.

Consecuencia: El empleado tiene tiempo de borrar evidencia, destruir dispositivos personales, y preparar su defensa.

Solución: Círculo de conocimiento mínimo. Solo quien necesita saber.

Error 4: Exceso en la investigación

Problema: Como están investigando, aprovechan para revisar a otros empleados “por si acaso”.

Consecuencia: Vulneración de derechos de trabajadores no sospechosos, posibles denuncias colectivas.

Solución: La investigación se limita al sospechoso y a lo estrictamente necesario.

Preparación del despido disciplinario

Si la investigación confirma las sospechas, hay que preparar el despido con cuidado:

Documentación necesaria

  1. Informe pericial completo con metodología y conclusiones
  2. Timeline de los hechos con fechas y evidencias
  3. Cuantificación del daño si es posible
  4. Política de uso de medios firmada por el empleado
  5. Advertencias previas si las hubo

Carta de despido

Debe incluir:

  • Descripción precisa de los hechos
  • Calificación jurídica (transgresión buena fe, abuso confianza)
  • Referencia a la evidencia obtenida
  • Fecha de efectos

Anticipar la impugnación

El empleado probablemente demandará. Prepárate para:

  • Ratificación del perito en acto de juicio
  • Preguntas sobre la metodología de investigación
  • Cuestionamiento de la proporcionalidad
  • Alegaciones de vulneración de intimidad

Un buen informe pericial resiste estos embates.

Medidas preventivas: evitar el insider threat

La mejor investigación es la que no necesitas hacer:

Políticas claras

  • Uso de medios informáticos: qué pueden y qué no pueden hacer
  • Confidencialidad: firmada específicamente
  • Propiedad intelectual: todo lo creado es de la empresa
  • Información de control: saben que puede haber monitorización

Controles técnicos

  • DLP (Data Loss Prevention): alerta de exfiltración de datos
  • SIEM: monitorización de comportamientos anómalos
  • Control de USB: restricción o registro de dispositivos
  • Gestión de identidades: principio de mínimo privilegio

Proceso de offboarding

Cuando un empleado se va (voluntaria o involuntariamente):

  • Revocación inmediata de accesos
  • Copia forense del equipo antes de reasignar
  • Revisión de actividad de las últimas semanas
  • Entrevista de salida documentada
El momento más peligroso

Los 30 días antes de que un empleado se vaya son los de mayor riesgo. Es cuando más datos se exfiltran. Si sabes que alguien va a dimitir o lo vas a despedir, preserva evidencia preventivamente.

Coste vs. beneficio de la investigación forense

Seamos prácticos:

Coste de investigación forense:

  • Análisis de un puesto de trabajo: 1.500-3.000€
  • Investigación completa (varios sistemas): 3.000-8.000€
  • Informe pericial para juicio: 2.000-4.000€
  • Ratificación en juicio: 400-800€/sesión

Coste de no investigar correctamente:

  • Despido declarado improcedente: indemnización legal + salarios tramitación
  • Sanción AEPD por investigación ilegal: 10.000-100.000€
  • Pérdida del juicio por falta de pruebas: legitimación del empleado
  • Daño reputacional: incalculable

Coste del insider threat no detectado:

  • Pérdida de clientes: variable (he visto casos de millones)
  • Filtración a competencia: ventaja competitiva perdida
  • Sabotaje de sistemas: costes de recuperación
  • Responsabilidad ante terceros: si se filtran sus datos

La investigación forense profesional no es un gasto, es un seguro.

Conclusión: actuar con método y con derecho

Los insider threats son una realidad en todas las organizaciones. No es cuestión de si te pasará, sino de cuándo y cómo responderás.

Mi recomendación basada en años de experiencia:

Para RRHH:

  • Ten políticas claras ANTES de que pase algo
  • Forma a los mandos en detección de señales de alerta
  • No actúes solo: coordina con legal y con expertos
  • Documenta todo desde el primer indicio

Para compliance:

  • El insider threat es un riesgo que debes tener mapeado
  • Los controles técnicos deben estar en tu plan de seguridad
  • La respuesta a incidentes debe incluir escenario interno
  • La formación de empleados es tu primera línea de defensa

Para abogados laboralistas:

  • Involucra al perito desde el principio, no al final
  • No dejes que el cliente investigue por su cuenta
  • La validez de la prueba se juega antes del despido
  • Prepara la defensa de la investigación, no solo del despido

El empleado desleal cuenta con que no podrás demostrarlo. Demuéstrale que se equivoca.

¿Sospechas de un empleado desleal?

Como perito judicial especializado en forense corporativo, investigo casos de insider threats con metodología legal y evidencia válida para procedimientos laborales y penales.

Consulta confidencial

Artículo actualizado el 3 febrero 2026 basado en jurisprudencia del Tribunal Supremo, criterios de la AEPD y mi experiencia en investigaciones corporativas.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Forense corporativo con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp