La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos.
A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.
Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.
El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.
Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.
Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.
Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.
En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.
De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.
De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:
- Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
- En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
- Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
- La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.