Fraude y actos desleales de los empleados cometidos a través de

DOSSIER: SOFTWARE Y NUEVAS TECNOLOGÍAS
Fraude y actos desleales de los empleados cometidos
a través de dispositivos tecnológicos
La tecnología digital es una herramienta ya indispensable dentro de las organizaciones. Pero además del ahorro
de costes, la inmediatez y la multiplicidad de información a la hora de trabajar, existen riesgos y abusos por
parte de empleados y colaboradores que hay que estudiar y prevenir para salvaguardar, sobre todo, el talento
y el activo intelectual de la organización.
FREDESVINDA INSA MÉRIDA, Directora de Desarrollo Estratégico de Cybex
L
as sospechas fundadas sobre ciertas
irregularidades relativas a la cartera de
clientes llevaron a un empresario a exigir a uno de sus empleados la entrega de su
portátil de trabajo, propiedad de la empresa.
La posterior monitorización del correo electrónico del trabajador sacó a la luz pruebas
contundentes que corroboraban los recelos
iniciales: el empleado había estado extrayendo información confidencial para montar
otra sociedad paralela por su cuenta. Estos
actos de deslealtad están a la orden del día y
F ICHA
TÉCNICA
Autor:
INSA, Fredesvinda.
Título:
Fraude y actos desleales de los empleados cometidos a través de dispositivos
tecnológicos.
Fuente:
Capital Humano, nº 212, pág. 94, Julio-Agosto, 2007.
Resumen: Competencia desleal, robo de información, uso inapropiado de los medios tecnológicos al
alcance de los trabajadores…son sólo algunos de los principales problemas que pueden derivarse
de un mal uso de la tecnología para los empresarios. Los autores de este artículo destacan que
no es fácil fijar la línea divisoria entre el derecho legítimo de control y cuidado de la información de
negocio a disposición del empleado en la organización y el derecho a la intimidad y al secreto de
las comunicaciones del que gozan todas las personas. En cualquier caso, concluyen los expertos
“se recomienda que cualquier mecanismo de control en las empresas se realice con discreción
y, si es posible, se permita en general un uso social de los instrumentos tecnológicos”.
Descriptores:
Software / Tecnología / Fraude.
Capital Humano
094_d_fraude_212.indd 94
94
a veces pasan tan inadvertidos como un simple clic de ratón. En manos de las empresas
está el establecimiento de límites y obligaciones relativas al uso de herramientas como
Internet, las agendas PDA o los dispositivos
USB, entre otros.
La utilización de dispositivos tecnológicos en
el ámbito empresarial ha traído consigo unos
beneficios que nadie se atreve a cuestionar
hoy en día. La aplicación masiva de las nuevas tecnologías ha provocado una verdadera
revolución en las organizaciones, facilitando
la transferencia de información, agilizando
los procesos empresariales, multiplicando la
productividad y, sobre todo, mejorando la
calidad de trabajo de las plantillas.
Actualmente, se estima que más de 90 por
ciento por ciento de los documentos creados en el seno de una organización son
electrónicos y, de todos ellos, menos del 30
por ciento se llega a imprimir. La tecnología
digital es, por tanto, una herramienta indispensable para la buena marcha de un negocio, pero tampoco está exenta de riesgos
frente a los que hay que saber prepararse a
tiempo: la prevención y detección temprana
de ciertos usos y abusos de los instrumentos
como el e-mail comienza por trazar un planteamiento interno, que es fundamental para
la salvaguarda de los activos intelectuales de
las empresas.
Nº 212 • Julio-Agosto • 2007
26/06/2007 14:26:00
Una de las infracciones cometidas con más
frecuencia en el entorno empresarial es la
creación de sociedades paralelas a partir
de los datos, informaciones y know how
extraídos de los sistemas de la empresa. El
supuesto de creación de una firma paralela
a la sombra de otra (valiéndose de los activos
inmateriales de ésta) entra dentro de los delitos tipificados bajo el artículo 270 del Código
Penal1. En esta misma línea, el artículo 11 de
la Ley de Competencia Desleal recuerda que
“la imitación de prestación de un tercero se
reputará desleal cuando resulte idónea para
generar la asociación por parte de los consumidores respecto a la prestación, o bien
comporte un aprovechamiento indebido de
la reputación o el esfuerzo ajeno”.
Pero la competencia desleal no es la única infracción que se comete a nivel laboral
mediante el uso de las herramientas tecnológicas. Hoy en día, es muy normal encontrarse en las organizaciones instalaciones de
programas de tipo P2P (peer to peer) como
los famosos Kazaa o eMule para descargar
música, videos, etc. A este respecto, conviene recordar a los trabajadores usuarios que
pueden incurrir en delito, según el mencionado artículo 270 del Código Penal.
Por otro lado, las consultas particulares de
los trabajadores a través de la Red y el uso
abusivo del correo electrónico empresarial
Nº 212 • Julio-Agosto • 2007
094_d_fraude_212.indd 95
para fines privados son dos tipos de situaciones muy frecuentes. Muchas empresas están
respondiendo a este fenómeno limitando el
tiempo de conexión de sus plantillas, o bien
especificando aquellas franjas horarias en
las que se puede hacer un uso privado de
la Red. Algunas reacciones empresariales
más drásticas prohíben toda utilización de
Internet y del e-mail que no sea por razones
puramente profesionales.
Acceder sin permiso a información confidencial de la empresa (bases de datos de clientes, por ejemplo) es un delito grave, muy
propio de las capas empresariales directivas,
al igual que la revelación de secretos profesionales2 a terceros. Sin olvidar las amenazas, injurias y calumnias vertidas a través de
los medios electrónicos por parte de muchos
empleados “conflictivos” con el ánimo de
desprestigiar la imagen de su empresa o de
insultar a potenciales clientes, por poner dos
ejemplos frecuentes3.
Aparte de todos estos supuestos, hay muchas otras infracciones como la destrucción,
alteración o inutilización de cualquier activo
inmaterial albergado en las redes o soportes
informáticos de la empresa. Los causantes
de estos daños informáticos –a veces irreparables– suelen hacer uso de virus y bombas
lógicas programadas con tiempo de antelación para hacerlos “explotar” una vez que
95
Capital Humano
26/06/2007 14:26:02
ellos ya han causado baja en su puesto
de trabajo.
REACCIONES POR PARTE DE LA EMPRESA
Varios síntomas pueden levantar sospechas de fraude o abuso cometido por un
trabajador. A veces se advierte un consumo excesivo o inusual de recursos (envío
de muchos megas al exterior). Otras veces
se constata un crecimiento injustificado de
datos de tráfico, el firewall de la empresa
da la voz de alarma a los responsables, o
bien el departamento de auditoria interna
nota algún indicio raro, cuando no es otro
trabajador el que informa sobre maniobras
turbias. Recordemos que la preservación del
patrimonio empresarial en su conjunto es un
fin legítimo de todo empresario. Así que,
cuando tales sospechas están más que fundadas, se procede a investigar el ordenador
de trabajo de un empleado, algo que implica
realizar una auditoria interna con el debido
respeto de los derechos fundamentales de
ese trabajador. El procedimiento ha de ser
transparente para así evitar vulnerar estos
derechos inalienables:
1) Realizar el registro de su ordenador cuando el trabajador esté presente
2) En caso de ausencia del trabajador, se
reclamará la presencia de representantes
de la empresa o, en su defecto, de algún
compañero del investigado, preferiblemente que pertenezca a la misma categoría profesional4.
3) El registro debe ser en el propio lugar de
trabajo y en horario laboral.
En la hipótesis de un registro del correo electrónico, un primer análisis sólo podrá detenerse en los “elementos accesorios” como
el tamaño del mensaje, la hora de envío o
el asunto del mismo, pero no se podrá entrar en el contenido del mensaje si no está
autorizado expresamente a través de una
orden judicial.
No es fácil situar la línea divisoria entre el
derecho legítimo de toda empresa a llevar
a cabo tales controles en su organización
y el derecho a la intimidad y al secreto de
las comunicaciones de que gozan todas las
personas, en este caso los trabajadores. Un
informe de Landwell5 sobre actos desleales
de empleados a través de los sistemas in-
Capital Humano
094_d_fraude_212.indd 96
96
formáticos e Internet desveló que sólo un
26% de las infracciones detectadas en las
organizaciones desembocan en litigio. El resto de los casos suelen acabar en una mera
negociación privada entre las partes, o bien
la cuestión queda zanjada a través un organismo conciliador laboral. El mismo informe
señalaba que sobre un 75% de las empresas
prefiere mantener en silencio este tipo de
acciones fraudulentas o desleales de sus empleados, en muchas ocasiones por razones
de reputación y de imagen externa.
LAS HUELLAS DEL FRAUDE
Las huellas de cualquier acción ilícita se pueden rastrear desde cualquier dispositivo electrónico, ya sea un ordenador de sobremesa,
un portátil o teléfonos móviles, consolas de
juegos y, por supuesto, en los propios servidores empresariales, que siempre dejan
rastro de las acciones de sus usuarios. Ante
una supuesta infracción cometida a través
de estas nuevas tecnologías, es lógico que
se indague sobre la autoría y, si se considera
oportuno y conveniente, se iniciarán medidas legales contra el responsable.
La disciplina orientada a la obtención y aseguramiento de estas huellas informáticas se
denomina Computer Forensics (análisis informático-forense). A través de un complejo procedimiento informático, se pretende de esta
forma recoger aquellas “huellas” que puedan
constituirse en delito o infracción, que demostrarán si en verdad se cometió tal infracción y
conducirán hasta el autor de un hecho. Desde
una vertiente técnica, por “pruebas electrónicas” se entiende toda aquella información
procedente de un sistema electrónico, por
tanto intangible, que ha de cumplir unos requisitos a la hora de obtenerse y analizarse
de cara a ser presentada ante un juez, en el
supuesto de llegar a juicio.
Dos ideas emanan de este enunciado. Por un
lado, la disponibilidad y acceso a tales pruebas electrónicas dependerá, en ocasiones,
del estado y configuración de los sistemas
informáticos de una organización. Algunas
insuficiencias observadas en el tejido empresarial son la falta de recursos invertidos en seguridad, la lenta actualización de los sistemas
informáticos al ritmo que impone el cambio
tecnológico y la inexistencia de una política
de seguridad definida y consolidada. Y por
otro lado, la admisión de estas pruebas, en
Nº 212 • Julio-Agosto • 2007
26/06/2007 14:26:04
caso de haber un proceso judicial, reclama
forzosamente el cumplimiento de unas garantías legales y técnicas para que la prueba
electrónica sea aceptada a trámite.
determinadas cláusulas en los contratos –o en
sus anexos– sobre el uso correcto y autorizado
de los medios digitales en la empresa. Pero
ésta no es la única alternativa.
Desde una perspectiva puramente jurídica, la
noción de “prueba electrónica” podría definirse como cualquier información obtenida a
partir de un dispositivo electrónico o medio
digital, que sirve para adquirir convencimiento de la certeza de un hecho.
El compromiso del trabajador de respetar un
uso correcto de los instrumentos tecnológicos de la empresa se puede concretar también a través de un “protocolo informático”,
un recurso que se está extendiendo mucho
en nuestro país. Este protocolo se aproxima a
un código de comportamiento que el trabajador ha de observar en su uso diario de los
recursos tecnológicos empresariales. Firmado
por el propio trabajador, es una garantía empresarial para poder ejercer un control sobre
estos dispositivos, siempre dentro de los límites marcados por el respeto a derechos tan
básicos como el derecho a la intimidad.
MEDIDAS PREVENTIVAS RECOMENDADAS
Las organizaciones recurren cada vez más a la
puesta en marcha de mecanismos preventivos
a fin de obtener el consentimiento expreso de
sus trabajadores a ser monitorizados por parte
de la empresa. El hecho de que las plantillas
tengan un conocimiento exacto sobre los límites a la utilización de un correo electrónico
o de un móvil de empresa permite al empresario actuar sin transgredir ningún derecho
fundamental. Estas medidas ayudan a disuadir al trabajador de cometer actos desleales o
abusivos y ejemplo de ello es la inclusión de
Nº 212 • Julio-Agosto • 2007
094_d_fraude_212.indd 97
Otra vía preventiva es la aparición de avisos en
forma de pop-up en la pantalla del ordenador
cada vez que un trabajador inicia la sesión,
donde se exponen las obligaciones y restricciones al uso de este dispositivo (hacer clic en
“aceptar” equivaldría a firmar una cláusula,
por ejemplo). Otros empresarios, mientras
97
Capital Humano
26/06/2007 14:26:04
tanto, prefieren impartir cierta formación sobre cuáles son los derechos y las obligaciones
de los trabajadores en el desempeño de sus
funciones y qué posibles sanciones están asociadas a un mal uso del material empresarial.
Formar al trabajador desde el principio sobre
el uso debido/indebido de las herramientas
de trabajo es otra vía de prevención de usos
fraudulentos y abusos de los dispositivos tecnológicos en las organizaciones.
En cualquier caso, siempre se recomienda
que cualquier mecanismo de control en las
empresas se realice con discreción y, si es posible, se permita en general un “uso social”
de los instrumentos tecnológicos, es decir, un
uso sensato y moderado como, por ejemplo,
autorizar a los empleados las transacciones de
banca on line para evitarles desplazamientos
innecesarios hasta una sucursal bancaria. \
Hasta hace pocos años resultaba difícil
demostrar que un empleado, por el mero
hecho de estar en contacto con determinados aparatos en el lugar de trabajo, debía
contraer este tipo de compromiso con la
empresa que le contrataba. Antes, en caso
de no respetar este compromiso, sólo se le
podía acusar de negligencia, pero nunca de
incumplimiento. Con la llegada de los protocolos informáticos y otras muchas medidas
de control, se han fijado unas mínimas reglas
de juego que están surtiendo un buen efecto
en las organizaciones.
NOTAS
1 El Artículo 270 del Código Penal se refiere a la reproducción, plagio, distribución o comunicación pública
no autorizada de las obras protegidas por la propiedad industrial.
2 Artículos 199, 278 y 279 del Código Penal.
3 Artículos 169, 205 y 208 del Código Penal.
4 Artículo 18 del Estatuto de los Trabajadores.
5 “Actos desleales de trabajadores usando sistemas
informático e Internet”. Landwell - PricewaterhouseCoopers. Periodo analizado: del 1 de Enero de 2001
al 31 de Diciembre de 2003. Muestra: 393 casos.
BOX DE JURISPRUDENCIA
Sentencia 2508/2005 del Tribunal Superior de Justicia de la Comunidad Valenciana
Una empresa instaló y usó un determinado programa
“espía” para conocer el tipo de mensajes que una trabajadora intercambiaba con sus compañeros y otras
personas ajenas a su trabajo. Se pudo acceder al
ordenador de la empleada para leer el contenido de
los mensajes y, posteriormente, se procedió al despido disciplinario de ésta. La trabajadora expulsada
recurrió alegando que la empresa había violado su
derecho a la intimidad al haber utilizado este programa “espía” sin su conocimiento. El tribunal consideró
que, efectivamente, la actuación empresarial en este
caso es ilícita, aun reconociendo que las medidas de
control empresarial deban existir para la buena marcha de las organizaciones. Aquí se rechazó el modo
en que se ejerció este control sobre el trabajador, ya
que nunca se avisó previamente a la plantilla de la
existencia de estas medidas, ni tampoco existía una
sospecha fundamentada de irregularidades previas
en las actividades profesionales de la trabajadora en
cuestión. Se dañó el derecho a la intimidad de la demandante y el despido fue calificado de nulo.
Sentencia 840/2004 del Tribunal Superior de Justicia de Cantabria (Sala de lo Social, Sección 1ª)
Empleado de una multinacional suplantó la identidad
de un compañero de trabajo, en nombre del cual envió un mensaje a un tercer trabajador de su misma
compañía con el fin de amonestarle. El empleado
investigado, que pertenecía al cuadro de mandos de
Capital Humano
094_d_fraude_212.indd 98
98
una multinacional, reprendía a un tercer trabajador por
el incorrecto desempeño de sus labores profesionales
haciéndose pasar por un responsable de Relaciones
Laborales. Tras demostrarse que dicho miembro del
departamento de Relaciones Laborales de la empresa
no fue quien envió dicha amonestación- pero sí se
empleó su usuario y su contraseña- la empresa decidió
contratar los servicios de una compañía especializada
en investigaciones informático-forenses para clarificar
la situación. El empleado investigado había burlado los
sistemas de seguridad de la empresa que le contrató al
poseer programas concretos que le permitían capturar
las pulsaciones de teclado y descifrar contraseñas de
otros usuarios. Además, tenía instalados programas
de borrado para luego no dejar ninguna huella de sus
acciones. El juez consideró que el despido procedente
está más que justificado por las siguientes razones:
• Instalación de programas no permitidos en el disco
duro de su ordenador de trabajo para lograr los
hechos que se le imputan.
• Acceso a los identificadores y claves de otros empleados de la empresa, iniciando sesión de correo
mediante éstos e interviniendo con una identidad
suplantada.
• Remisión de correos electrónicos haciéndose pasar por otro compañero de trabajo.
• Utilización inadecuada de Internet, cuando su empresa ni siquiera le permitía el acceso en horas
extra laborales.
Nº 212 • Julio-Agosto • 2007
26/06/2007 14:26:04
094_d_fraude_212.indd 99
26/06/2007 14:26:05
yo
“
y
sí ”
Elimino tareas sin valor
Reduzco costes
En RRHH pago sólo por lo que uso
Atraigo y fidelizo a los mejores
Invierto en servicios de RRHH, no en software
Puedo competir como los más grandes
094_d_fraude_212.indd 100
26/06/2007 14:26:06
El primer portal integrado de
servicios de RRHH y Financieros
Para más info contactar con:
[email protected]
902 22 44 66
www.hraccess.es
094_d_fraude_212.indd 101
26/06/2007 14:26:06