Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Espionaje industrial

Aparte de la protección de datos personales, en todas las empresas se manejan datos no personales, que pueden ser de vital importancia para el futuro de la compañía como información relacionada con proyectos de I+D+I.

Cuando un proyecto de I+D+I concluye con la obtención del producto final, el resultado se protege, o se debería proteger, frente a terceros con la oportuna patente, pero antes de alcanzar ese resultado, las empresas han de invertir enormes recursos en la fase de desarrollo, que puede durar varios años, y es en esa fase donde radica el riesgo de ser víctimas de espionaje industrial y como tal se entienden aquellas prácticas ilícitas realizadas por empresas competidoras para obtener información privilegiada de sus rivales con el objetivo de lograr una ventaja competitiva, estratégica y/o comercial. Las grandes compañías suelen ser el objetivo de estas prácticas ilícitas, pero también pueden serlo las pequeñas y medianas empresas con proyectos innovadores y las start-up. 

Los métodos tradicionales de espionaje industrial son, básicamente, dos: el denominado «Caballo de Troya» que consiste en infiltrar a espías en empresas de la competencia y la captación de antiguos empleados. Un ejemplo reciente es el de Tesla, que ha denunciado ser víctima de espionaje industrial, al menos, en dos ocasiones. La primera demanda fue contra la start-up de vehículos autónomos Zoox. Esta demanda se saldó con un acuerdo, por el cual Zoox tuvo que indemnizar a Tesla con una cantidad no revelada, que imagino no fue pequeña. La otra demanda, aún pendiente de resolución, fue contra la compañía Rivian, uno de los principales rivales de Tesla en el desarrollo de vehículos eléctricos, y la razón fue la contratación de antiguos empleados con acceso a proyectos en desarrollo de Tesla. 

Con la llegada de las nuevas tecnologías, el espionaje industrial se ha renovado con nuevos y múltiples métodos, algunos muy sofisticados, como por ejemplo la infección del sistema informático con algún tipo de malware, la implantación de un software que de manera imperceptible al usuario otorga un acceso remoto casi total al dispositivo, el uso de técnicas de ingeniería social, la activación remota de la cámara y el micrófono de los dispositivos móviles, etc.

Los costes de una fuga de información pueden ser enormes, no sólo en términos económicos, sino también a nivel de imagen reputacional. Hemos de ser conscientes de que no existe el riesgo cero pero, al menos, podemos adoptar medidas para prevenir el espionaje o tratar de dificultarlo.

Aparte de las medidas habituales de seguridad informática (firewall, antivirus, etc.) pueden adoptar las siguientes cautelas:

  • Seleccionar cuidadosamente al personal con acceso a información privilegiada.
  • Limitar el número de personas con acceso a información confidencial. Cuantas menos, mejor.
  • Incluir cláusulas de confidencialidad y penales en los contratos de trabajo y de colaboración.
  • Introducir elementos de conocimiento compartido, de modo que ciertas decisiones requieran el concurso de dos o más personas.
  • Establecer estrictos controles de acceso.
  • Implantar medidas de seguridad, como videovigilancia, en áreas restringidas. 
  • Instalar bloqueadores de frecuencia para detectar dispositivos espía y realizar barridos de radiofrecuencias de forma periódica.
  • Instalar cajas o bolsas Faraday en las zonas de trabajo para introducir en ellas los dispositivos móviles con el fin de inutilizarlos.
  • Desconectar las webcam y micrófonos de los dispositivos informáticos.
  • Establecer sistemas de encriptación y de transferencia segura.
  • Emplear elementos de almacenamiento de solo-lectura.
  • Prohibir la impresión de documentos confidenciales.
  • Formar constantemente al personal sobre tipos de malware y técnicas de ingeniería social.
  • Evitar realizar comentarios sobre información confidencial fuera del círculo de confianza.

Como medida extrema se puede recurrir a empresas de seguridad e investigación privada. Dichas empresas trabajan con profesionales que puede ayudar a detectar riesgos y encontrar elementos sospechosos entre la paquetería, documentación, regalos, etc. 

Recoger evidencias de un espionaje industrial, cuando este es muy elaborado, no es tarea sencilla. No obstante, si el robo de información se produjo a través del sistema informático existen herramientas de monitorización que permiten determinar la trazabilidad del suceso, así como identificar, preservar, analizar y presentar datos sobre el origen del incidente que serán de utilidad a la hora de formular la denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. 

En nuestro Código Penal no existe un concepto de «secreto de empresa». La jurisprudencia lo define como «cualquier dato que la empresa tenga intención de preservar del conocimiento público, que de ser conocido contra la voluntad de la empresa, pueda afectar a su capacidad competitiva» (STS, Sala Segunda, de lo Penal, nº 285/2008, de 12 de mayo de 2008, R.C. 1467/2007). Su contenido suele entenderse integrado por los secretos de naturaleza técnico-industrial, de orden comercial y los organizativos.

Apoderarse por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos para descubrir secretos de una empresa, interceptando sus telecomunicaciones o utilizando artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, se castiga con pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses (artículo 278.1 del CP). La pena será de tres a cinco años de prisión y multa de doce a veinticuatro meses para aquellos que difundan, revelen o cedan a terceros los secretos descubiertos (artículo 278.2 del CP). A ello habrá que sumar las penas correspondientes al delito de apoderamiento o destrucción de los soportes informáticos (artículo 197.2 del CP). Aparte de la pena de prisión, se impondrá la de responsabilidad civil por los daños y perjuicios ocasionados. 

Cualquiera puede ser víctima de espionaje por la competencia. Una idea innovadora, una campaña de marketing, el lanzamiento de nuevos productos, un proyecto de expansión… se pueden ver frustrados por la imprudencia de un trabajador, por conversaciones fuera de lugar, por documentación que no fue convenientemente destruida y cae en malas manos, por filtraciones del personal descontento… la información es poder, no lo olviden.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).