David A. Sanmartin. Detective privado

Tradicionalmente se ha asimilado el espionaje industrial con la turbia figura del espía, sujeto que, cinematográficamente vestido de negro, accedía a las instalaciones de una empresa para apropiarse de los secretos de ésta. Al margen de los siempre exagerados elementos propios de cualquier película, el tópico del espía encerraba una verdad clara: para apropiarse de los secretos de otro era preciso acceder a sus instalaciones, bien por sujetos externos que “allanaban” la propiedad ajena, bien corrompiendo a empleados de la empresa espiada o bien introduciendo al espía como trabajador de la espiada.

A lo anterior –y en la misma línea de simplificación- se unía otra característica que configuraba el espionaje clásico: el papel como soporte universal de la información y la necesidad de copiar –por lo general- grandes volúmenes de papeles.

Desde el punto de vista de la seguridad, la situación significaba que un eficaz control de accesos, una política de investigación previa de candidatos y la sistemática destrucción de todo papel arrojado a la papelera solía ser una profilaxis básica apropiada como primera barrera contra la amenaza del espionaje. Desde el punto de la investigación de sospechas de espionaje, las actuaciones habituales (y eficaces) eran el control de fotocopiadoras mediante cámaras ocultas y el seguimiento de sospechosos.

La irrupción y actual desarrollo de las TICs en la empresa ha cambiado radicalmente este panorama.

En primer lugar, el papel ha dejado de ser el soporte universal de la información, que ahora se almacena en formato electrónico en ordenadores. En segundo lugar, estos sistemas de información son accesibles desde el exterior de la compañía. Estas dos novedades configuran un escenario completamente distinto, que seguro a nadie se le escapa.

Por un lado, ya no es necesario fotocopiar un gran volumen de documentación. Actualmente, un dispositivo de memoria tipo USB es capaz de almacenar sin problemas y en escasos minutos el archivo de clientes de una compañía, unido a los presupuestos, planos técnicos y demás información de interés. Su reducido tamaño hace que la retirada del mismo de la empresa pase completamente desapercibida. 

Por el otro y desde el punto de vista de la seguridad, la posibilidad de acceso desde el exterior a los sistemas de información corporativos ha supuesto una quiebra de los mecanismos de protección tradicionales: el edificio ya no es una fortaleza para la protección de la información secreta. Para evaluar la relevancia de este cambio de escenario ha de tenerse presente que la actuación “física” (en el tema que nos ocupa: el introducirse en dependencias ajenas o el poder ser descubierto in fraganti copiando documentos) constituye una barrera psicológica para muchos individuos. Por contra, acceder a un sistema desde la distancia otorga una sensación de impunidad que reduce extraordinariamente el umbral de resistencia al fraude. Para aquéllos que no estén de acuerdo, basta comparar el número de casos de acceso ilegal a sistemas (el mal llamado hacking) con los de simple y duro allanamiento de instalaciones industriales.

Este nuevo escenario no estaría completo sin tener en cuenta un último factor: el acceso a sistemas es, por sí, un aliciente para el infractor. En el espionaje industrial clásico el único motivo para acceder a las instalaciones de la empresa espiada era la apropiación de sus secretos (el espionaje en sí). Por contra, la superación de las barreras de acceso a un sistema constituye un reto para algunos sujetos, cuyo objetivo no es el espionaje en sí mismo sino el mero acceso a ese sistema. Una vez dentro del mismo, habitualmente accederán a los secretos de la compañía (es la medalla que acredita el acceso a las áreas pretendidamente más protegidas). Y ¿qué hacer luego con la información?: ofrecerla a los competidores, con un alarmante aumento de casos, en una nueva modalidad de amenaza: del espionaje bajo pedido a la oferta de secretos.