Nos encanta hablar de Inteligencia Artificial, de Blockchain y de Zero Trust Architecture. Queda fenomenal en las presentaciones de PowerPoint. Sin embargo, la realidad de la pyme (y la gran empresa) española sigue luchando contra un enemigo analógico, barato y adhesivo: el post-it con la contraseña.
Como abogado, veo este fenómeno desde dos trincheras: la del responsable de seguridad que se tira de los pelos y la del trabajador que acaba con una carta de despido en la mano por «negligencia grave». Analicemos qué implica legalmente ese trozo de papel.
1. La pesadilla de la ISO 27001 y el RGPD
Si tu empresa certifica o pretende certificar en ISO 27001, el post-it es la antítesis del control. Específicamente, choca frontalmente con los controles de Política de Escritorio Limpio y Pantalla Limpia. Un auditor no necesita hacer un pentesting complejo; solo necesita dar un paseo por la oficina mientras la gente toma café. Si ve la contraseña, la confidencialidad del sistema está comprometida.
Desde la óptica del RGPD (Reglamento General de Protección de Datos), el artículo 32 obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar la seguridad. Dejar las credenciales a la vista es una violación flagrante del principio de integridad y confidencialidad. Si ese post-it permite un acceso indebido y una exfiltración de datos, la multa de la AEPD no será para el empleado, será para la empresa por Culpa in Vigilando (falta de vigilancia).
2. La perspectiva laboral: ¿Me pueden despedir por esto?
La respuesta corta es: Sí, y de forma fulminante.
Pero hay un matiz importante. Para que un despido disciplinario por causas tecnológicas (basado en el Art. 54 del Estatuto de los Trabajadores por transgresión de la buena fe contractual) prospere en un juzgado, la empresa debe haber hecho sus deberes antes:
- Política Clara: Debe existir una política de seguridad informática firmada por el trabajador que prohíba explícitamente compartir o exponer credenciales.
- Formación: La empresa debe demostrar que formó al empleado en ciberseguridad. No vale un PDF de 80 páginas enviado por email que nadie leyó.
- Proporcionalidad: Si todo el mundo lo hace y la empresa lo tolera (la famosa «costumbre»), despedir a uno solo por ello puede considerarse discriminatorio.
Sin embargo, si las reglas están claras y el empleado insiste en su «ayuda visual» en el monitor, estamos ante una imprudencia temeraria. He visto sentencias validando despidos no porque el trabajador quisiera dañar a la empresa, sino porque su negligencia puso en riesgo todo el sistema.
3. Consejos para evitar el desastre
El post-it no es la causa, es el síntoma de una política de contraseñas ineficaz.
- Implementad gestores de contraseñas corporativos: Si obligas a cambiar la clave cada mes y pides mayúsculas, minúsculas, números y símbolos, el cerebro humano falla. Dad herramientas (Keepass, 1Password, etc.) para que no necesiten el papel.
- MFA (Autenticación de Doble Factor) obligatorio: Si el post-it solo tiene la contraseña, pero el atacante necesita el móvil del empleado para entrar, el riesgo baja drásticamente.
- Régimen Sancionador Gradual: No esperéis a la catástrofe. La primera vez, amonestación por escrito. La segunda, suspensión de empleo y sueldo. El miedo a la sanción suele ser más efectivo que la charla de concienciación anual.
Conclusión
La ciberseguridad es un 10% tecnología y un 90% psicología humana. Mientras sigamos diseñando sistemas de seguridad que ignoran la comodidad del usuario, seguiremos encontrando post-its. Y como abogado os digo: es mucho más barato un gestor de contraseñas que un juicio por despido o una sanción de protección de datos.
