SEGURETAT INFORMÀTICA

L’espionatge empresarial es dispara a les Balears

La Unitat de Delictes Tecnològics de la policia ha rebut centenars de denúncies el darrer any

Intec és la primera empresa de ciberseguretat de les Illes i una de les poques de l'Estat
Anna Schnabel
22/03/2019
5 min

PalmaLa Unitat de Delictes Tecnològics de la Policia Nacional a les Illes Balears ha rebut el darrer any centenars de denúncies relacionades amb l’espionatge industrial o la revelació de secrets en l’àmbit empresarial a Mallorca. Segons agents especialitzats i experts del sector, les denúncies d’aquesta mena de delictes han augmentat de manera significativa. De fet, les denúncies per espionatge empresarial són una part important del total de les que impliquen delictes tecnològics. Tot i que la Policia Nacional no té encara xifres exactes respecte del 2018, calcula que el total de denúncies de delictes tecnològics que es varen fer l’any passat voreja les 5.000. Aquesta dada implica un augment del 20% respecte de les 3.876 denúncies que es registraren el 2017, segons les dades del Ministeri de l’Interior.

“La gent pensa que l’espionatge industrial només passa a les pel·lícules de James Bond, però és el nostre dia a dia”, assegura Juanjo Fuster, el gerent de la primera empresa de ciberseguretat de les Balears i una de les poques de l’estat espanyol: Intec. Entre altres serveis, elabora informes per a la policia o el món judicial. “És un problema al qual s’enfronten les empreses de totes les mides”, afegeix Fuster. Aquesta és una opinió que comparteix el consultor i professor de seguretat informàtica José Nicolás Castellano -que també és un dels organitzadors del congrés de seguretat informàtica més veterà de l’Estat, el NoConName-. “L’espionatge industrial ha existit i existirà sempre”, assegura Castellano. I recomana prendre mesures i limitar l’accés a la informació sensible de l’empresa.

Castellano recorda un cas d’espionatge empresarial de l’any passat, centrat en l’àmbit sanitari. “Un dels càrrecs de confiança de la direcció tècnica d’una empresa accedia des de casa al correu electrònic del president amb la intenció d’extreure’n informació confidencial”, explica. Circulaven rumors que l’empresa es vendria i va utilitzar dades de comptabilitat per tal de fer una estimació fiable del preu total de l’empresa i filtrar-les a una empresa barcelonina de la competència. Aquest és un cas paradigmàtic d’espionatge industrial: companyies que n’espien d’altres i aprofiten informació confidencial amb la finalitat d’obtenir-ne un benefici econòmic i situar-se al capdavant de la competència o bé perjudicar-la.

Fa tres anys un empresari de Mallorca del sector tecnològic, que feia serveis de facturació per a altres companyies, arribà a la feina i no hi trobà cap treballador: tots havien deixat damunt la taula la carta de renúncia, els mòbils i les claus del cotxe d’empresa. Després d’anys treballant junts, socis i treballadors muntaren un altre negoci que oferia exactament els mateixos serveis. L’empresari quedà sense res d’un dia per l’altre. Desconeixia fins i tot les contrasenyes dels ordinadors. Els dos bàndols s’embrancaren en una batalla judicial a cop de denúncies creuades. S’obriren diverses causes i algunes arribaren fa poc als tribunals de les Illes.

L’espionatge empresarial es
 Dispara

La policia va arribar a demostrar que un dels socis havia accedit als servidors de l’empresa i que havia obtingut informació sensible -llistes de preus, entre altres-, però no va identificar cap afany específic per robar un secret d’empresa, explica el cap de la unitat de delictes tecnològics de la Policia Nacional a les Balears, Jorge Miguel Rodríguez. “Eren dades que qualsevol treballador de l’empresa hauria pogut obtenir”, assegura. Així doncs, el magistrat del Jutjat de Primera Instància de Palma que va dur el cas va descartar la revelació de secrets.

En cap d’aquests dos casos, explica Castellano, ni en el del sector sanitari ni en el del tecnològic, s’havien pres mesures per tal de protegir bé la informació sensible de l’empresa i qualsevol dels treballadors hi podia accedir.

Fuster recorda el cas d’un empresari que es disposava a vendre la companyia a un treballador, de manera que li va mostrar els comptes anuals. Transcorregut un temps, el treballador va refusar l’oferta. No obstant això, va accedir a un dels equips i va extreure’n informació per estalviar-se haver de pagar el que li demanava l’empresa per adquirir-la. Intec aconseguí descobrir com i quan havia robat les dades. En una altra ocasió, una empresa es va adonar que havien facturat la meitat que l’any anterior i no en comprenien el motiu. “Intec va descobrir que un treballador accedia a totes les ofertes, desades als servidors interns”. “Després, es dedicava a vendre-les al millor postor”, recorda. El cas va acabar als tribunals.

Descobrir qui ha utilitzat un dels ordinadors que tenen les empreses per aconseguir informació confidencial pot convertir-se en un autèntic malson per als investigadors. Rodríguez, que aquest març fa cinc anys que es dedica a la ciberdelinqüència, recomana fer còpies de seguretat de tota la informació sensible d’una companyia i allotjar-la en un altre servidor. També recomana fer firmar als treballadors un acord de confidencialitat. Això agreujaria les sancions en cas de difondre, revelar o cedir informacions sensibles d’una empresa per part de qui té legalment o per contracte l’obligació de mantenir-la secreta.

El preu de revelar secrets

El capítol onzè del Codi Penal castiga amb duresa el descobriment d’un secret d’empresa per mitjà de dades, documents escrits o electrònics. Preveu penes de presó de dos a quatre anys i multes de 12 a 24 mesos. La pena s’eleva de tres a cinc anys si s’ha difós, revelat o cedit a tercers la informació confidencial. El Codi Penal també prescriu penes semblants pels delictes de violació de secrets empresarials o, fins i tot, per la revelació o la utilització de secrets sense previ descobriment.

La majoria de vegades l’espionatge industrial no comporta penes de presó, sinó multes més o menys elevades. Un jutjat penal de Palma va condemnar el 2013 un agent immobiliari que havia robat la llista de clients de la companyia en la qual feia feina. Ho va fer el mateix dia en què va firmar la baixa voluntària. Ja era de nit i feia hores que havia acabat la jornada laboral. Però va entrar a l’oficina i va enviar per correu electrònic la llista de clients i altres dades confidencials. Fins i tot ho va enviar al seu pare. El varen condemnar a pagar a l’afectada 28.859 euros, a més a més de les despeses judicials del cas.

Por de perdre la confiança

“L’espionatge industrial és més habitual del que la gent creu”, hi insisteix Fuster, però els afectats no solen fer-ho públic. “Tenen por de perdre la confiança dels clients o la reputació” de marca, explica. Amb tot, els afectats per un cas d’espionatge o revelació de secrets en l’àmbit industrial estan obligats a notificar qualsevol incident que pugui implicar una filtració d’informació personal per part de tercers, segons estableix l’article 33 del Reglament General de Protecció de Dades, i s’ha de fer, a més, dins les 72 hores des del moment en què s’ha constatat la violació.

Un dels problemes és que les decisions i les mesures les prenen els departaments d’informàtica de les empreses, segons Fuster, i no l’empresari. “I no tots els informàtics tenen els coneixements necessaris”, remarca. Recomana, per tant, “contractar un especialista” i, sobretot, “aplicar el sentit comú” a l’hora de compartir informació. “Les solucions informàtiques tenen un cost que no tothom es pot permetre”, admet Nicolás. Aquest expert en seguretat informàtica recomana que les empreses “assumeixin una política de riscos” i es preparin per a possibles fuites d’informació.

Escoltes i infiltrats amb llicència

Des de la verificació de currículums fins a la infiltració en una empresa: els detectius privats són els únics professionals habilitats pel Ministeri de l’Interior per investigar assumptes i delictes d’àmbit privat, com l’espionatge industrial. “Només cal que hi hagi legitimitat per part del contractant”, explica Juan Carlos Terán, delegat de l’Associació Professional de Detectius Privats d´Espanya (APDPE) a les Balears.

Terán defuig les càmeres. Quasi mai no es mostra en públic perquè l’ofici es nodreix de discreció. “Però els detectius no som espies”, remarca. Vol combatre la idea “pròpia de novel·la negra” que en té la gent. Són experts en la instal·lació de càmeres i micròfons ocults, a fer escombratges d’aparells d’escolta i espionatge, a aplicar sistemes de control informàtic o a fer, directament, contraespionatge: perseguir el rastre de fuites d’informació, detectar espies i, fins i tot, infiltrar-se dins les empreses. Els detectius privats fan aquesta mena de serveis habitualment per a algunes de les principals cadenes del sector hoteler amb seu a l’Arxipèlag.

El Gran Germà en l’àmbit laboral

L’àmbit laboral és l’altre hàbitat natural d’aquests professionals: el seguiment de treballadors que trenquen el secret professional, que fingeixen una baixa o que, simplement, no fan allò acordat amb l’empresa. L’Estatut dels Treballadors estableix que “l’empresari pot adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment, per part del treballador, dels seus deures laborals”.

stats