Tu mayor amenaza no es un hacker ruso; es el empleado que se sienta a tu derecha
Lunes, 09:00 AM. El café humea sobre la mesa de caoba de un despacho en el centro de Madrid. El Director General mira por la cristalera, orgulloso de la «familia» que ha construido. En la planta abierta, 25 empleados teclean con energía. Hay risas, hay complicidad, hay cultura de empresa. O eso cree él.
Lo que no ve es que, en el servidor central, un flujo de datos está saliendo hacia una IP en las Islas Caimán. No lo hace un comando de élite del GRU ruso desde un sótano en San Petersburgo. Lo está haciendo Sergio, el responsable de sistemas que lleva cinco años en la casa y que ayer celebró el cumpleaños de su hija con el dinero del jefe.
Sergio no está hackeando. Sergio está usando sus llaves.
Este es el fenómeno del Insider Threat (la amenaza interna), el peor agujero negro de la ciberseguridad corporativa en 2026. Como presidente de la ANTPJI, y tras haber liderado más de 22 auditorías críticas en lo que va de año, la conclusión es una bofetada de realidad: el enemigo no está llamando a la puerta; ya tiene el código de la alarma y duerme la siesta en tu sofá.
La Anatomía del Traidor: Los tres rostros del veneno
En 2026, el riesgo ya no se limita al «espía» de gabardina. En nuestras auditorías forenses, hemos catalogado tres perfiles que están desangrando el tejido empresarial español:
El Negligente (La puerta entreabierta) – 63% de los casos
Es el empleado «bueno» que, por comodidad, abre un agujero en el casco del barco. Es quien envía un listado de clientes por WhatsApp porque «el correo de la empresa es lento», o quien usa una IA generativa gratuita para resumir un contrato confidencial, entregando sin saberlo los secretos comerciales al modelo de lenguaje global. No hay maldad, hay ignorancia técnica, y en ciberseguridad, la ignorancia se paga con la quiebra.
El Malintencionado (El verdugo silencioso)
Alguien con acceso legítimo que decide que su lealtad tiene un precio inferior a su resentimiento. Vende bases de datos en la Dark Web o, peor aún, sabotea los sistemas antes de irse a la competencia. En 2026, hemos visto cómo el resentimiento por una promoción denegada se traduce en la eliminación de backups críticos en un solo clic.
El «Impostor» (Credential Thief)
Aquí la línea se desdibuja. Un atacante externo roba las credenciales de un empleado. Para el sistema de seguridad de la empresa, el atacante es el empleado. No hay alarmas porque el «usuario autorizado» está haciendo lo que suele hacer. Es el lobo con piel de cordero digital.
El Caso de «Logística 360»: Una empresa con 2 empleados reales
Permítanme contarles un caso real (bajo nombre ficticio) que hemos peritado recientemente en la ANTPJI.
Logística 360 era una empresa modelo. 25 empleados, un crecimiento del 15% anual y una confianza ciega en su equipo. El dueño, un empresario de la vieja escuela, creía que su gente era su mayor activo. Se equivocaba. Eran su mayor pasivo.
Iniciamos la auditoría tras una caída sospechosa de la facturación, creyendo que el ataque venia de afuera. Lo que encontramos en los logs de los servidores fue una película de terror. De los 25 empleados, 23 eran infieles.
Habían creado una empresa espejo desde dentro. Durante seis meses, utilizaron los ordenadores de la empresa, la conexión a internet de la empresa y, lo más sangrante, el tiempo pagado por la empresa para montar su propia competencia. Capturaron la base de datos de clientes, copiaron los algoritmos de rutas logísticas y el viernes por la tarde, 23 personas presentaron su dimisión en bloque.
El lunes, el dueño se encontró con una oficina vacía, los servidores formateados «por error» y una notificación de que sus 10 principales clientes habían firmado con una nueva startup que ofrecía sus mismos servicios un 20% más baratos. ¿Cómo? No habían invertido un euro en I+D ni en formación. Se lo habían llevado todo de «Logística 360» por el precio de una suscripción a un servidor en la nube. La empresa perdió el 90% de su valor en un fin de semana.
El problema ha dejado de ser técnico para ser conductual. Invertir un millón de euros en un firewall de última generación es inútil si quien maneja el firewall tiene una oferta de 5.000 euros en criptomonedas por dejar una «puerta trasera» abierta.
La Democratización de la IA como arma
Hoy, un empleado resentido no necesita saber programar. Puede pedirle a una IA: «Escríbeme un script que extraiga todos los correos de la base de datos SQL y los envíe a esta dirección de Telegram». La barrera de entrada para el sabotaje ha caído.
El Mercado de las Credenciales
En la Dark Web, los grupos de Ransomware ya no pierden el tiempo intentando romper cifrados de nivel militar. Simplemente compran el acceso. Es la economía del «Insider-as-a-Service». Comprar a un empleado por 500 € es la inversión más rentable para un cibercriminal, llegando a pagar incluso 5.000 € por toda la información.
Desde el punto de vista del peritaje informático que realizamos en la ANTPJI, nos enfrentamos a un muro: la trazabilidad.
Si una empresa no tiene implementada una cultura de registros (logs) detallados, ante un juez es imposible demostrar quién pulsó el botón de «enviar». La presunción de inocencia del trabajador es el escudo detrás del cual se esconden los mayores robos de activos de este siglo.
Además, nos encontramos con el conflicto ético-legal: Privacidad vs. Seguridad. El empresario cree que no puede monitorizar lo que hace su empleado por miedo a las multas de la AEPD. Pero la realidad es otra: si no monitorizas la conducta digital de tus activos, no tienes empresa. Aquí es donde el Dossier de Gobernanza y los estatutos digitales que redactamos en la asociación se convierten en el único chaleco antibalas legal para el empresario.
La Solución: Auditorías de Conducta y Higiene Digital
Para los empresarios sin escrúpulos, este es un nicho de negocio brutal. La «canibalización» de pymes por parte de sus propios empleados es una tendencia al alza. ¿Cómo protegerse?
- Auditorías de Conducta Digital: No basta con saber si el firewall funciona. Necesitas saber cómo interactúan tus humanos con los datos. En la ANTPJI analizamos patrones, no solo bits.
- Protocolos de Off-boarding: El 20% de las fugas de datos ocurren en las 24 horas posteriores a un despido porque los accesos siguen activos. Un empleado despedido es una bomba de relojería si su contraseña de la VPN sigue funcionando.
- Zero Trust (Confianza Cero): Es una filosofía dolorosa pero necesaria. Nadie tiene acceso a todo. El acceso se concede por necesidad, se monitoriza por sistema y se revoca por defecto.
Empresario, mírale bien. El empleado que se sienta a tu derecha, el que te sonríe en la cena de Navidad, puede ser el que esté vendiendo tu esfuerzo de 20 años en un foro de hackers mientras tú duermes.
La ciberseguridad en 2026 ya no es un problema de ingeniería informática; es un problema de psicología y vigilancia de activos. En la ANTPJI, vemos cadáveres corporativos todos los días. Empresas que eran líderes un viernes y que el lunes son solo un local vacío con ordenadores que ya no contienen nada valioso.
No dejes que tu empresa sea el siguiente capítulo de este thriller de terror. Porque en el mundo digital, la confianza ciega es el camino más rápido hacia la autopsia forense.
Tu mayor amenaza no es un hacker ruso. Es el silencio que hay en tu oficina mientras tus propios recursos son usados para destruirte.
Angel Bahamontes es Presidente de la ANTPJI y experto en peritaje informático forense. Ha liderado auditorías en las mayores crisis de fuga de datos de la última década.
