Condemnats dos exdirectius d'una tecnològica de Barcelona per usar informació confidencial per fundar una competidora
Els dos excàrrecs van copiar dades de clients, proveïdors i treballadors, pressupostos i documentació interna
- Què ha passat: Un jutjat de Barcelona ha condemnat dos antics directius (comercial i d'informàtica) a un any de presó, 1.080€ de multa i 22.500€ d'indemnització per usar informació confidencial de la seva empresa per beneficiar la competidora que van crear el 2015.
- Com ho van fer: Van copiar les bases de dades i aplicacions de gestió empresarial abans de marxar. Van contractar treballadors de l'empresa anterior i van usar dades de clients, proveïdors, ofertes i pressupostos en un servidor remot.
- La prova digital: El rastreig de l'adreça IP pública del servidor remot i l'anàlisi de metadades van ser fonamentals per acreditar la sostracció i ús de la informació en el judici.
- Millora de seguretat: L'empresa va reforçar ciberseguretat amb nous sistemes de monitoratge, segmentació de xarxes i controls d'accés per evitar futurs robos de dades per part de directius.
Un jutjat penal de Barcelona ha condemnat dos antics directius d'una empresa tecnològica per la utilització d’informació confidencial de la companyia per beneficiar l’empresa competidora que van crear després de la seva sortida de l’organització. Els condemnats, que van acceptar els fets i la pena, eren el director comercial i el director d’informàtica després de 20 anys dins de l’organització. La sentència condemna tots dos acusats a un any de presó, 1.080 euros de multa i 22.500 euros d'indemnització a favor de l’empresa perjudicada per un delicte d'ús lucratiu de secret empresarial.
Segons els fets provats, el 26 de gener del 2015 un dels dos acusats va ser acomiadat i un mes després va crear una empresa amb "objecte social idèntic", va contractar treballadors de l'anterior empresa amb millors condicions salarials, entre ells a l'altre exdirectiu. Tots dos van copiar les bases de dades i l'aplicació informàtica de gestió empresarial d'aquestes dades abans del 2 de març, quan el segon exdirectiu va passar a la segona companyia.
La fiscalia demanava inicialment dos anys i nou mesos de presó per als acusats, 8.100 euros de multa, a banda de la indemnització a l'empresa afectada. La companyia víctima acusava per un delicte continuat de revelació de secrets. No obstant això, el mateix dia del judici, el 15 de maig passat, la fiscalia va rebaixar la seva petició de pena, aplicant els atenuants de dilacions indegudes i reparació del dany, cosa que l'acusació particular i les defenses van acceptar.
La conducta il·lícita no es va dur a terme mitjançant un atac extern als sistemes informàtics, sinó per part de persones, en concret directius, que disposaven d’accés legítim a informació estratègica a causa de les seves responsabilitats dins de l’organització.
Segons els fets declarats provats, tots dos van utilitzar informació empresarial sensible de Sistemas Digitales Corporate (SDC) per desenvolupar l’activitat de la distribuïdora Soluciones Ofimáticas de Catalunya (Soficat), una companyia competidora fundada després d’abandonar l’empresa i que actualment es troba en concurs de creditors.
La sentència considera acreditada la utilització lucrativa de secrets empresarials pertanyents a SDC, especialitzada en assessorament, comercialització i assistència tècnica en infraestructura d’impressió i gestió documental.
La sentència recull que la informació feta servir incloïa actius empresarials d’especial valor competitiu, entre els quals dades de clients, proveïdors i treballadors, ofertes comercials, pressupostos, previsions de vendes, plantilles i documentació interna de la companyia. Aquesta informació va ser utilitzada en benefici de la nova activitat empresarial desenvolupada pels condemnats gràcies a un servidor remot on guardaven informació procedent de SDC.
La prova digital, clau per acreditar els fets
Un dels aspectes més rellevants del procediment ha estat la manera com es va acreditar tècnicament la sostracció i la utilització de la informació. La investigació va permetre reconstruir el recorregut de les dades mitjançant el rastreig de l’adreça IP pública del servidor remot on va acabar emmagatzemada la informació, així com a través d’una anàlisi detallada de metadades i marques temporals dels fitxers.
Els treballs pericials també van verificar l’existència d’accessos remots als sistemes corporatius i la rèplica d’informació empresarial fora de la infraestructura tecnològica de la companyia.
Tota la prova obtinguda va ser incorporada a un informe pericial informàtic que posteriorment va ser ratificat davant l’òrgan judicial i va suposar una de les peces fonamentals per a l’acreditació dels fets.
Millores tecnològiques
Després dels fets, Sistemas Digitales Corporate va reforçar de manera significativa les seves mesures de ciberseguretat i govern tecnològic mitjançant la implantació de noves polítiques de control d’accessos, monitoratge d’activitat, segmentació de xarxes i protecció avançada d’equips, amb l’objectiu de minimitzar els riscos associats a amenaces internes i enfortir la protecció de la informació corporativa.
Entre les principals actuacions implementades destaquen l’externalització de la gestió de totes les infraestructures de TI, garantint que cap empleat --inclosos els membres de la direcció-- disposi de permisos globals d’administració sobre servidors, sistemes crítics o l’ERP de la companyia, d’acord amb el principi de mínim privilegi. Així mateix, l’empresa ha incorporat sistemes centralitzats de registre i monitoratge d’accessos i incidències, tallafocs de nova generació al perímetre de la xarxa, solucions de ciberdefensa basades en intel·ligència artificial per a la prevenció, detecció i cerca proactiva d’amenaces, segmentació de la xarxa mitjançant VLANs per limitar l’abast de possibles accessos indeguts, còpies de seguretat amb plans de recuperació davant desastres, gestió contínua de pedaços i vulnerabilitats, i processos d’estandardització de configuracions i infraestructures tecnològiques.