La copia de 185 archivos confidenciales desde una nube corporativa hacia un dispositivo USB personal ha terminado convirtiéndose en una de las resoluciones más relevantes del año para responsables de ciberseguridad, departamentos jurídicos, peritos informáticos y equipos directivos. La reciente doctrina del Tribunal Supremo no solo confirma la procedencia de una extinción contractual por una grave vulneración de la confianza empresarial; también redefine cómo deben interpretarse la custodia de la información, la prueba digital y la responsabilidad individual en una economía donde los datos se han convertido en uno de los activos más valiosos de cualquier organización.
Más allá del caso concreto, la resolución abre una cuestión estratégica que afecta a empresas de todos los sectores: ¿están las organizaciones preparadas para demostrar técnicamente una fuga de información antes de que el daño económico, reputacional o competitivo resulte irreversible?
Cuando el riesgo ya está dentro de la organización
Durante años, la conversación sobre ciberseguridad se ha centrado en amenazas externas. Ransomware, campañas de phishing, grupos criminales organizados o vulnerabilidades de software han ocupado la mayor parte de los titulares y de las inversiones empresariales.
Sin embargo, algunos de los incidentes más complejos no comienzan con una intrusión desde el exterior. Empiezan con un usuario autorizado utilizando herramientas legítimas para fines incompatibles con sus obligaciones profesionales.
La reciente sentencia del Tribunal Supremo encaja precisamente en este escenario. Los hechos probados describen cómo una gerente de una gran compañía española descargó 185 archivos confidenciales alojados en la nube corporativa y los transfirió posteriormente a un dispositivo USB de su propiedad. Entre la documentación figuraban informes internos, metodologías de costes, estructuras organizativas, información inmobiliaria, materiales formativos y otros elementos considerados estratégicos para la actividad empresarial.
Desde una perspectiva técnica, el caso resulta especialmente relevante porque no hubo una brecha de seguridad convencional. No existió una intrusión externa ni la explotación de una vulnerabilidad informática. El acceso era legítimo. Lo que se cuestionó fue el uso posterior de esa capacidad de acceso.
Esta diferencia explica por qué las amenazas internas continúan siendo uno de los mayores desafíos para las organizaciones modernas. El informe Cost of Insider Risks Global Report 2025, elaborado por el Ponemon Institute, sigue identificando los incidentes protagonizados por usuarios internos como algunos de los más difíciles de detectar, precisamente porque se desarrollan dentro de parámetros aparentemente normales.
Un empleado autorizado no necesita vulnerar un sistema para comprometer información sensible. En muchos casos basta con copiarla.
La nube no elimina los riesgos, los transforma
La migración hacia plataformas cloud ha mejorado notablemente la disponibilidad y flexibilidad de los sistemas corporativos. Sin embargo, existe una percepción equivocada que todavía persiste en numerosos entornos empresariales: asumir que trasladar los datos a la nube equivale automáticamente a resolver los problemas de seguridad.
La realidad es bastante más compleja.
Los grandes proveedores cloud ofrecen infraestructuras altamente protegidas, pero la gestión de identidades, permisos y privilegios continúa siendo responsabilidad de las organizaciones que utilizan esos servicios.
El caso analizado por el Tribunal Supremo ilustra perfectamente esta situación. La información se encontraba protegida dentro de un entorno corporativo, pero una usuaria con permisos válidos pudo acceder a determinados documentos y transferirlos a un soporte externo.
La cuestión ya no era si alguien podía entrar en el sistema. La cuestión era si debía acceder a esa información concreta.
Aquí adquiere especial relevancia el modelo Zero Trust, promovido por el National Institute of Standards and Technology (NIST) en su guía SP 800-207. Su principio fundamental es sencillo: ningún usuario debe disfrutar de confianza ilimitada por el simple hecho de pertenecer a la organización.
Durante años muchas empresas concedieron permisos amplios por comodidad operativa. Sin embargo, el crecimiento del teletrabajo, la digitalización documental y el uso masivo de plataformas cloud han convertido esa práctica en un riesgo cada vez más difícil de justificar.
La sentencia refuerza precisamente esta visión. Parte de la documentación descargada no resultaba necesaria para el desempeño habitual de las funciones de la trabajadora, un aspecto que contribuyó a valorar la gravedad de la conducta y la pérdida de confianza empresarial.
La prueba digital se convierte en el elemento decisivo
Aunque gran parte de la atención pública se ha centrado en las consecuencias laborales del caso, el aspecto más relevante desde una perspectiva tecnológica probablemente sea otro: la calidad de la evidencia digital.
Sin una reconstrucción técnica rigurosa de los hechos, la organización difícilmente habría podido sostener su posición ante los tribunales.
La investigación permitió acreditar quién accedió a los archivos, cuándo se produjo la descarga, qué volumen de información fue transferido y qué usuario ejecutó las operaciones analizadas. Esa capacidad de reconstrucción transformó una sospecha en un hecho técnicamente verificable.
Aquí entra en juego la informática forense, una disciplina cada vez más presente en procedimientos judiciales relacionados con conflictos laborales, delitos tecnológicos y fugas de información.
La norma internacional ISO 27037 establece las bases para preservar evidencia digital con garantías procesales. Gracias a estas metodologías, una investigación puede reconstruir quién accedió a la información, cuándo lo hizo y qué acciones ejecutó, permitiendo que la prueba mantenga su validez ante un tribunal.
Desde la experiencia acumulada en investigaciones periciales, uno de los errores más frecuentes consiste en intervenir sistemas sin preservar adecuadamente la evidencia. Accesos no documentados, modificaciones accidentales o actuaciones improvisadas pueden comprometer la validez posterior de la información recopilada.
Por ello, la denominada cadena de custodia digital se ha convertido en un elemento esencial de cualquier investigación tecnológica. La fortaleza de una prueba ya no depende únicamente de lo que demuestra, sino también de la capacidad para acreditar cómo fue obtenida.
Y esa diferencia puede determinar el resultado de un litigio.
Cuando la tecnología y el derecho convergen
Uno de los elementos más debatidos de la resolución ha sido la coincidencia temporal entre la actuación investigada y la posterior situación de incapacidad temporal de la trabajadora.
Durante los últimos años, tanto la jurisprudencia española como la europea han reforzado progresivamente la protección frente a decisiones empresariales que puedan resultar discriminatorias por motivos relacionados con la salud.
Precisamente por ello, el pronunciamiento del Tribunal Supremo adquiere especial relevancia.
Los magistrados concluyen que la incapacidad temporal no constituye una protección automática frente a una actuación disciplinaria cuando existe una causa previa, objetiva y suficientemente acreditada. El elemento determinante no fue la situación médica de la trabajadora, sino la existencia de una conducta anterior documentada mediante pruebas verificables.
La resolución transmite una enseñanza especialmente valiosa para departamentos de recursos humanos, responsables de cumplimiento normativo y asesores jurídicos: la seguridad jurídica depende de la calidad de la evidencia.
Cuando una organización puede demostrar de forma objetiva y técnicamente sólida que una determinada actuación vulnera obligaciones contractuales o compromisos de confidencialidad, el debate deja de girar en torno a percepciones subjetivas.
La sentencia también pone de relieve la importancia creciente de los códigos internos de conducta y de las políticas corporativas de seguridad. Lo que durante años fue considerado una mera formalidad administrativa se ha convertido en una herramienta esencial de gobernanza digital.
Lo que deberían aprender las empresas
Reducir esta resolución a un simple conflicto laboral sería perder de vista su verdadero alcance.
La primera enseñanza es la necesidad de revisar periódicamente los privilegios de acceso. Sigue siendo habitual encontrar usuarios que mantienen permisos heredados de responsabilidades anteriores o acceso a repositorios que ya no necesitan para desempeñar sus funciones actuales.
La segunda lección afecta a la monitorización. Registrar eventos no equivale necesariamente a supervisarlos. Muchas organizaciones almacenan millones de registros diarios sin contar con mecanismos eficaces para detectar descargas masivas o comportamientos anómalos.
La tercera tiene relación con la prevención tecnológica. Soluciones de Data Loss Prevention (DLP), controles sobre dispositivos extraíbles y herramientas de análisis de comportamiento permiten reducir significativamente la probabilidad de incidentes similares.
También resulta imprescindible actualizar contratos laborales, acuerdos de confidencialidad y códigos internos para adaptarlos a entornos cloud, trabajo remoto y nuevas formas de gestión digital de la información.
La mejor estrategia jurídica sigue siendo una estrategia técnica implantada antes de que aparezca el conflicto.
El próximo desafío: la inteligencia artificial y la fuga de conocimiento
Aunque el incidente analizado gira alrededor de una memoria USB, sería un error considerarlo un problema vinculado únicamente a tecnologías del pasado.
La próxima generación de incidentes probablemente tendrá como protagonista a la inteligencia artificial.
Cada vez más profesionales utilizan sistemas generativos para resumir documentos, analizar información o redactar informes. El desafío surge cuando datos corporativos sensibles terminan siendo introducidos en plataformas externas sin una evaluación adecuada de riesgos.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha advertido durante los últimos meses sobre la necesidad de reforzar los mecanismos de gobernanza asociados al uso empresarial de herramientas de IA. El problema ya no consiste únicamente en quién accede a la información, sino también en cómo se procesa y dónde termina almacenada.
En este contexto, la doctrina construida hoy sobre la extracción de archivos corporativos podría servir mañana como referencia para conflictos relacionados con asistentes de inteligencia artificial, plataformas colaborativas externas o sistemas automatizados de tratamiento documental.
La tecnología evoluciona con rapidez. La necesidad de proteger el conocimiento estratégico de las organizaciones permanece.
La confianza digital necesita evidencia
La relevancia de esta resolución trasciende ampliamente el conflicto concreto que la originó. En una economía donde los datos, los procesos internos y el conocimiento corporativo constituyen activos estratégicos, la diferencia entre una sospecha y una decisión empresarial defendible ante un tribunal depende cada vez más de la capacidad para generar evidencia técnica fiable, preservar su integridad y contextualizarla jurídicamente.
Durante años las organizaciones concentraron sus esfuerzos en impedir que los atacantes externos penetraran en sus sistemas. La sentencia del Tribunal Supremo recuerda que el desafío actual es igualmente complejo: comprender qué ocurre cuando quien accede a la información ya se encuentra dentro.
Porque en la era de la nube, la inteligencia artificial y el trabajo distribuido, la verdadera ventaja competitiva quizá no consista únicamente en proteger los datos, sino en demostrar, llegado el momento, quién hizo qué con ellos y por qué.
La cuestión que deja abierta esta resolución para directivos, responsables de seguridad, juristas y peritos es tan sencilla como incómoda: si una fuga de información hubiera ocurrido hoy en su organización, ¿podría reconstruir los hechos con suficientes garantías técnicas y procesales para sostenerlos ante un tribunal dentro de seis meses?
