La fuga silenciosa: cómo un abogado se llevó 1.847 documentos confidenciales antes de irse
Historia real de cómo la fuga de información de un empleado de confianza destruyó contratos, relaciones de negocio y la reputación de un bufete de abogados sin que nadie lo viera venir. Y lo fácil que es que le pase a cualquier empresa.
Los nombres de empresas, personas y datos específicos han sido modificados para proteger la identidad de las partes involucradas. El caso está basado en hechos reales documentados.
El último email que Marcos Alberdi envió desde su cuenta corporativa fue perfectamente ordinario. Un correo a un cliente sobre el calendario de firmas de una operación de M&A. Nada que llamara la atención. Era un viernes a las 18:43. Apagó el ordenador, cogió su maletín —el mismo que llevaba siete años llevando al despacho de Velázquez & Asociados— y cruzó el hall de mármol de las oficinas sin mirar atrás.
Lo que nadie sabía en ese momento es que Marcos no se llevó solo el maletín. Se llevó también 1.847 documentos. Contratos de adquisición. Estrategias de negociación. Informes de due diligence. Bases de datos de contactos de clientes. Borradores de demandas. Minutas internas. Datos que había ido extrayendo, con toda la calma del mundo, durante los últimos noventa y cuatro días.
Nadie lo vio. Nadie recibió ninguna alerta. Y nadie lo descubrió hasta cuatro meses después, cuando ya era demasiado tarde.
1.847
Documentos robados
23
Clientes afectados
94 días
Duración de la extracción
+€340.000
Pérdidas estimadas
La decisión
Marcos Alberdi llevaba siete años en Velázquez & Asociados. Había entrado como abogado junior recién salido del máster y había ascendido hasta convertirse en el socio responsable de todas las operaciones de fusiones y adquisiciones de empresas medianas. Era, en papel, uno de los activos más valiosos del bufete. Conocía los clientes. Conocía las estrategias. Conocía los puntos débiles de cada negociación abierta.
El día que recibió la oferta de Aramburu Legal —un competidor directo que llevaba meses intentando crecer en el segmento de M&A— la decisión no fue difícil. Más dinero, título de socio desde el primer día, y la posibilidad de traerse su cartera de clientes. Lo que legalmente no podía hacer. Lo que decidió hacer de todas formas.
No fue una decisión impulsiva. Marcos fue metódico. Calculador. Tres meses antes de presentar su renuncia, empezó a construir su salida. Y la ciberseguridad de documentos del bufete —o más bien su ausencia— se lo puso increíblemente fácil.
«Tenía acceso a todo. No era un intruso que forzó una cerradura. Era alguien que tenía las llaves de todas las puertas, con autorización completa, y nadie controlaba cuántas copias hacía de esas llaves.»
La extracción: lo increíblemente fácil que fue
Marcos no necesitó hackear nada. No usó vulnerabilidades técnicas ni contraseñas robadas. Usó algo mucho más sencillo y mucho más difícil de detectar: sus propios permisos de acceso legítimos.
El proceso comenzó despacio. Los primeros días, copiaba uno o dos documentos en un pen drive USB que traía de casa. Archivos de clientes en los que él era el abogado responsable: contratos firmados, due diligences, valoraciones de empresa. Nada que visualmente pareciera sospechoso en su día a día. Simplemente alguien trabajando en su mesa, como siempre.
Los 4 métodos de extracción que usó Marcos
Pen drives USB personales
Conectados directamente al ordenador del trabajo. Sin restricciones de dispositivos USB en los equipos del bufete. Nadie registraba qué se copiaba ni cuándo.
Reenvío a cuenta personal de Gmail
Forwarding directo desde el email corporativo a marcos.alberdi.personal@gmail.com. El filtro antispam del bufete no bloqueaba el reenvío a dominios externos.
Google Drive personal
Subía carpetas completas directamente desde el navegador. Sin ninguna política de DLP que detectara transferencias masivas de datos a servicios cloud externos.
Capturas de pantalla de bases de datos
Para los sistemas que no permitían exportar datos directamente, hacía capturas de pantalla manuales. Bases de contactos de clientes, seguimiento de expedientes.
En los últimos veinte días antes de su renuncia, Marcos aceleró el ritmo. Ya no eran uno o dos archivos al día. Eran carpetas enteras. Expedientes completos de las operaciones más estratégicas del bufete. Algunas de las negociaciones más sensibles del año, con datos de compradores, vendedores, precios de transacción y puntos de ruptura conocidos solo por los abogados implicados.
En total, la auditoría posterior contabilizó 1.847 archivos extraídos a lo largo de noventa y cuatro días. El bufete nunca recibió una sola alerta. No hubo ninguna anomalía en los registros de acceso, porque Marcos accedía exactamente a lo que tenía permiso de acceder. El sistema no distinguía entre «acceso legítimo» y «acceso con intención de robar».
El descubrimiento: cuatro meses después
La mañana del 18 de noviembre, Elena Vidal —socia directora de Velázquez & Asociados— recibió una llamada que tardó varios minutos en entender del todo. Era Roberto Fuentes, director financiero de una empresa industrial que era cliente del bufete desde hacía diez años. Roberto estaba furioso.
Aramburu Legal —el nuevo bufete de Marcos— había contactado con él ofreciéndole sus servicios. Y lo habían hecho citando datos de una operación de adquisición que Velázquez gestionaba en ese momento. Datos que solo podían conocer desde dentro. El precio de salida que el vendedor aceptaría. Las condiciones del earn-out. Los puntos de bloqueo de la negociación.
El email que detonó la auditoría interna
De: roberto.fuentes@industriasferraz.es
Para: elena.vidal@velazquez-asociados.com
Asunto: Urgente — posible filtración de información confidencial
Elena,
Necesito hablar contigo hoy. He recibido una propuesta de Aramburu Legal en la que mencionan condiciones de nuestra operación que nadie fuera de tu equipo debería conocer. Concretamente el precio de salida acordado con el vendedor y el mecanismo de earn-out.
Si hay una filtración de información desde vuestro bufete, necesito saberlo inmediatamente. Están en juego 18 millones de euros y mi reputación como comprador.
Roberto
Elena puso en marcha una auditoría interna esa misma tarde. Los resultados que llegaron dos días después fueron devastadores. Los logs de acceso a los archivos mostraban cientos de accesos masivos en la cuenta de Marcos en los meses previos a su marcha. Las conexiones USB registradas en su equipo —el bufete sí tenía ese registro técnico, aunque nunca lo monitorizaba— revelaban transferencias de datos en docenas de sesiones. Y el análisis del servidor de correo mostraba 312 reenvíos automáticos a una cuenta Gmail externa en los últimos tres meses de su contrato.
El dato más perturbador: toda la información estaba ahí, en los registros del sistema, desde el primer día. Nadie la había mirado nunca. Nadie la estaba analizando en tiempo real. El bufete tenía los datos del crimen, pero no tenía a nadie —ni nada— mirando esos datos.
El daño real: mucho más allá de los documentos
La fuga de información de Marcos no fue solo un problema técnico ni legal. Fue un terremoto que sacudió los cimientos de confianza sobre los que se construye un bufete de abogados. Esa confianza que a los clientes les lleva años dar y que puede destruirse en una sola llamada de teléfono.
4 clientes
Clientes perdidos
Cuatro clientes afectados rescindieron sus contratos con el bufete al conocer la filtración. Facturación anual perdida: estimada en €180.000.
3 procedimientos
Litigios abiertos
Dos clientes interpusieron demandas civiles contra el bufete por incumplimiento del deber de confidencialidad. Un caso llegó también a la vía penal contra Marcos.
€60.000
Sanción AEPD
Multa de la Agencia Española de Protección de Datos por brecha de seguridad que comprometió datos personales de clientes. El bufete no notificó en el plazo de 72 horas exigido por el RGPD.
Incalculable
Ventaja competitiva cedida
Aramburu Legal se benefició de información estratégica privilegiada en al menos 6 operaciones durante los meses siguientes. Imposible de cuantificar con exactitud.
€38.000
Auditoría forense y legal
Empresa de ciberseguridad forense para reconstruir el rastro de la extracción. Abogados especializados en propiedad intelectual y RGPD. Meses de trabajo.
Severo
Daño reputacional
La noticia circuló por el sector. Tres propuestas en proceso de pitch se interrumpieron. Dos socios plantearon su salida. El bufete tardó 18 meses en estabilizarse.
PÉRDIDA ECONÓMICA TOTAL ESTIMADA
€340.000+
Sin contar el daño reputacional, los clientes futuros no captados ni el valor de la información competitiva cedida
El desenlace judicial fue decepcionante para el bufete. Marcos fue condenado en vía civil, pero la sentencia tardó casi dos años. La indemnización reconocida —42.000 euros— no guardaba ninguna proporción con el daño real. Y Aramburu Legal, técnicamente ajeno a la extracción, siguió operando sin consecuencias directas. En el mundo real, la fuga de información de un empleado casi nunca tiene el final que debería.
Por qué es tan fácil: el problema de fondo
El caso de Velázquez & Asociados no es una excepción. Es la norma. Según datos del Insider Threat Report 2025 de Cybersecurity Insiders, el 74% de las organizaciones son vulnerables a amenazas internas, y el 68% reconoce que sus herramientas de seguridad no son suficientes para detectarlas. La fuga de documentos confidenciales por empleados no es una rareza de los bufetes de abogados. Afecta a consultoras, departamentos de RRHH, equipos comerciales, gestorías, empresas de ingeniería, clínicas médicas.
El problema raíz es que la mayoría de las organizaciones están diseñados para defenderse de ataques externos —hackers, ransomware, phishing— pero tienen una visibilidad casi nula sobre lo que hacen sus propios empleados con la información a la que acceden legítimamente. Y los empleados lo saben, aunque no lo verbalicen.
Sin control de dispositivos USB
La mayoría de empresas permiten conectar cualquier dispositivo USB a los equipos de trabajo. No existe registro ni restricción de lo que se copia.
Sin monitorización de email saliente
El reenvío de correos a cuentas personales no está bloqueado ni alertado. Miles de documentos pueden salir por email en semanas.
Sin bloqueo de cloud storage personal
Dropbox, Google Drive, OneDrive personal... son accesibles desde cualquier navegador del trabajo sin ninguna restricción.
Sin análisis de comportamiento
Nadie detecta que un empleado que antes accedía a 10 archivos al día empieza a acceder a 500. Esa anomalía pasa completamente desapercibida.
El momento más crítico: los últimos 30 días antes de la renuncia
La investigación sobre amenazas internas de Verizon identifica un patrón consistente en casi todos los casos de exfiltración: el 90% de la información robada se extrae en los últimos 30 días de empleo, y concretamente en los 7 días anteriores a la presentación de la renuncia o al despido.
Este es el punto donde cualquier sistema de detección basado en comportamiento debería disparar alertas automáticas: un empleado que descarga volúmenes inusuales de datos, accede a carpetas fuera de su actividad habitual o reenvía correos masivamente a cuentas externas es una señal de alarma que no debería pasar nunca desapercibida.
Lo que habría evitado todo esto
Lo más frustrante del caso —y Elena Vidal lo repite cada vez que lo cuenta— es que todas las herramientas para haberlo impedido existían. No eran caras. No requerían un equipo técnico especializado. Simplemente no las tenían. Aquí están las medidas que habrían cambiado el desenlace:
DLP (Data Loss Prevention)
Lo que hizo el bufete
No existía ningún sistema DLP. Los empleados podían copiar cualquier archivo a dispositivos USB, reenviar correos a cuentas personales y subir documentos a servicios cloud externos sin ninguna restricción ni alerta.
Lo que debería haberse hecho
Un sistema DLP detecta y bloquea transferencias de datos sensibles: adjuntos a cuentas externas, copias masivas a USB, subidas a cloud no autorizado. Puede bloquear automáticamente o generar alertas para revisión manual.
Control y bloqueo de dispositivos USB
Lo que hizo el bufete
Cualquier empleado podía conectar cualquier dispositivo USB a su equipo de trabajo sin que quedara registro ni restricción. El pen drive de Marcos pasó desapercibido decenas de veces.
Lo que debería haberse hecho
Políticas de gestión de dispositivos (MDM/UEM) permiten bloquear completamente los USB no autorizados, o restringirlos a dispositivos corporativos cifrados y registrados. Una configuración de 2 horas.
Monitorización de comportamiento (UEBA)
Lo que hizo el bufete
Nadie monitorizaba el volumen de accesos a ficheros ni detectaba patrones anómalos. Marcos pasó de acceder a 15 archivos diarios a más de 400 sin que ningún sistema generara ninguna alerta.
Lo que debería haberse hecho
Las herramientas UEBA (User and Entity Behavior Analytics) establecen una línea base de comportamiento por usuario y alertan cuando un empleado se desvía significativamente: descarga masiva, acceso fuera de horario, carpetas inusuales.
Protocolo de offboarding con revocación inmediata
Lo que hizo el bufete
Cuando Marcos presentó su renuncia, siguió teniendo acceso completo a todos los sistemas durante su período de preaviso. No hubo reducción de permisos ni vigilancia reforzada.
Lo que debería haberse hecho
El protocolo de baja de empleados debe incluir revisión y reducción inmediata de permisos al conocer la renuncia, copia forense del equipo, y monitorización reforzada durante el período de preaviso.
Marcado de agua en documentos (watermarking)
Lo que hizo el bufete
Los documentos del bufete no tenían ningún tipo de identificación interna. Imposible demostrar rápidamente qué versión de un documento había salido y por qué canal.
Lo que debería haberse hecho
El watermarking digital invisible embebe en cada documento metadata sobre quién lo descargó, cuándo y desde qué equipo. Aunque el archivo llegue a manos de terceros, el origen es rastreable.
Principio de mínimo acceso
Lo que hizo el bufete
Marcos tenía acceso a todos los expedientes del bufete, no solo a los suyos. Un abogado de M&A podía leer expedientes de litigios, reestructuraciones o fiscalidad de otros departamentos sin necesitarlo para su trabajo.
Lo que debería haberse hecho
El control de acceso basado en roles (RBAC) garantiza que cada empleado solo vea lo que necesita para hacer su trabajo. Si Marcos solo hubiera tenido acceso a sus propios expedientes, el daño habría sido un 80% menor.
La reflexión de Elena un año después
«Nunca pensé que el mayor riesgo de seguridad fuera alguien de confianza. Gastábamos en antivirus, en firewalls, en protegernos de ataques externos. Pero la puerta de atrás siempre estuvo abierta para quien ya estaba dentro. Y resulta que eso era lo más fácil de controlar, y lo último que miramos.»
El bufete implantó una solución DLP + UEBA a los tres meses del incidente. El coste anual completo, incluyendo la consultoría de implantación: menos de 12.000 euros. La pérdida real causada por no tenerla: más de 340.000 euros.
Lo que debe revisar tu empresa esta semana
No hace falta ser un bufete de abogados para estar expuesto a la fuga de información confidencial. Cualquier empresa con más de 5 empleados y datos valiosos —clientes, precios, estrategias, procesos— tiene este riesgo. Y la mayoría no lo ha evaluado nunca.
1. Audita el acceso a dispositivos USB
¿Sabes qué empleados han conectado un USB en los últimos 30 días? ¿Qué han copiado? Si no puedes responder, tienes una brecha abierta. Implanta una política de control de dispositivos hoy.
2. Revisa los reenvíos de email saliente
¿Algún empleado tiene configurado el reenvío automático de su email corporativo a una cuenta personal? Compruébalo ahora mismo en tu gestor de correo. Es una de las técnicas más usadas y menos vigiladas.
3. Aplica mínimo privilegio en el acceso a carpetas
¿Todos tus empleados pueden ver todas las carpetas compartidas? Haz una auditoría de permisos. Cada empleado debería acceder solo a lo necesario para su trabajo.
4. Define un protocolo de baja formal
¿Qué pasa cuando un empleado entrega su renuncia? ¿En cuánto tiempo le revocas el acceso a los sistemas? Define un proceso: reducción de permisos el mismo día, copia forense del equipo, cambio de contraseñas compartidas.
5. Evalúa una solución DLP o UEBA
Herramientas como Coro, Microsoft Purview o Teramind ofrecen protección frente a fugas internas de datos. No son solo para grandes empresas. Muchas tienen versiones adaptadas a pymes desde 5€/usuario/mes.
¿Sabes qué hacen tus empleados con tu información?
La fuga de información confidencial es el riesgo de ciberseguridad más subestimado en empresas medianas. Descubre cómo proteger tu organización antes de que sea tarde.
Artículos relacionados
Principales plataformas de ciberseguridad automatizadas todo-en-uno en 2026
Análisis objetivo de las 9 mejores plataformas XDR y de seguridad unificada para empresas medianas en 2026: Microsoft Defender, CrowdStrike, Sophos, Coro, SentinelOne y más. Descubre cuál encaja mejor con tu organización.
NIS2 para empresas: qué es y cómo cumplirla sin ser técnico
Guía práctica sobre la directiva NIS2 para responsables de empresa: qué obliga, a quién afecta, plazos, sanciones y cómo adaptarse sin conocimientos técnicos. Cumplimiento NIS2 en España 2026.
Phishing en empresas: cómo detectarlo y evitarlo en 2026
Guía completa sobre phishing para empresas: qué es, cómo detectar correos fraudulentos, tipos de ataques (spear phishing, smishing, vishing) y las mejores medidas de protección para pymes en 2026.