Vivimos obsesionados con los hackers rusos y las APTs (Amenazas Persistentes Avanzadas), pero la realidad de las brechas de seguridad suele ser mucho más patética: un empleado con pocas ganas de pensar y una contraseña que un niño de cinco años podría adivinar.
La pregunta que me hacen constantemente las empresas cuando sufren un incidente por culpa de un usuario descuidado es: ¿Puedo despedir a este trabajador por su incompetencia digital?
La respuesta corta es: Depende. La respuesta larga implica analizar la delgada línea entre el error humano y la negligencia grave punible.
El Marco Legal: Deber de Diligencia y Buena Fe
Para entender si usar «123456» es motivo de despido, debemos ir a la raíz de la relación laboral.
- Estatuto de los Trabajadores (ET): El Artículo 5 establece que el trabajador debe cumplir con sus obligaciones de conformidad con las reglas de la buena fe y diligencia.
- Transgresión de la Buena Fe (Art. 54.2.d ET): Esta es la vía habitual para el despido disciplinario. No se trata solo de robar dinero de la caja; exponer los datos de la empresa por una dejación absoluta de funciones también encaja aquí.
- RGPD y LOPDGDD: El empleado tiene el deber de confidencialidad y de seguir las medidas de seguridad impuestas por el responsable del tratamiento (la empresa). Ignorarlas pone a la compañía a los pies de las multas de la AEPD.
¿Cuándo es «Negligencia Grave»?
Para que un juez valide un despido procedente por uso de contraseñas débiles (o compartir credenciales), deben darse tres factores simultáneos. Si falta uno, el despido será improcedente:
- Existencia de Protocolos Claros: La empresa debe demostrar que comunicó, formó y entregó una política de seguridad donde se prohíbe explícitamente el uso de contraseñas triviales. Si no hay política escrita, no hay infracción clara.
- Voluntariedad o Imprudencia Temeraria: No basta con un despiste. Tiene que haber una conducta reiterada o una imprudencia tal que demuestre una falta total de cuidado profesional. Usar «123456» en el acceso a la banca online de la empresa es temerario; usarla en la app del menú del comedor, quizás no tanto.
- El Daño (o riesgo de daño): La jurisprudencia suele exigir que la conducta haya causado un perjuicio real o haya puesto en riesgo crítico a la organización.
La Trampa de la «Culpa in Vigilando» (El aviso para las empresas)
Aquí es donde yo, como abogado, me pongo del lado del trabajador (a veces).
Si una empresa despide a alguien por usar «123456», pero sus sistemas informáticos PERMITÍAN configurar esa contraseña, el despido tiene muchas papeletas de ser declarado improcedente.
¿Por qué? Porque la empresa tiene la capacidad técnica de imponer complejidad (mínimo 12 caracteres, alfanuméricos, MFA, etc.). Si la empresa no implementa estas barreras técnicas básicas (controles ISO 27001), está tolerando tácitamente la inseguridad. No puedes sancionar al empleado por entrar por una puerta que tú dejaste abierta.
3 Medidas para evitar el drama judicial
Si eres empresario o responsable de seguridad, toma nota:
- La Tecnología manda sobre la Política: No confíes en que el usuario «haga lo correcto». Configura tus sistemas (GPO, Active Directory, IdP) para rechazar contraseñas débiles automáticamente.
- MFA (Autenticación de Doble Factor) o Muerte: La contraseña es el eslabón más débil. Si no tienes MFA activado, la negligencia empieza en la dirección de la empresa, no en el becario.
- Régimen Sancionador Gradual: No esperes al hackeo para despedir. Si detectas malas prácticas, sanciona gradualmente (amonestación escrita, suspensión de empleo y sueldo) para crear antecedentes.
Conclusión
La contraseña «123456» no es solo una mala práctica de higiene digital; es un síntoma de una cultura corporativa enferma. Para el trabajador, puede suponer un despido disciplinario totalmente justificado si existen normas claras. Para la empresa, permitirlo es una negligencia técnica imperdonable.
En el juzgado, la ignorancia tecnológica ya no exime de culpa. Ni al que contrata, ni al contratado.
