Sabotaje informático en la empresa: cómo un informe pericial logró el despido procedente

Un empleado bloqueó cientos de repositorios de código el mismo día que fue despedido. La empresa quedó paralizada durante dos meses. La prueba pericial informática fue clave para que el Juzgado de lo Social declarara el despido procedente.

El caso: bloqueo masivo de sistemas tras la comunicación del despido

Una agencia de desarrollo web comunicó a uno de sus programadores el despido disciplinario el 1 de agosto de 2023. Lo que ocurrió a continuación puso en jaque la operativa de toda la empresa.

El mismo día del despido, el trabajador accedió al sistema de repositorios de código fuente de la empresa —la herramienta fundamental para el desarrollo de proyectos web— y ejecutó las siguientes acciones:

• Eliminó a todos los usuarios del sistema (gerencia, compañeros, cuentas corporativas)
• Se auto-asignó como único administrador del espacio de trabajo
• Bloqueó el acceso a cientos de repositorios que contenían el código fuente de todos los proyectos de clientes
• Cambió la configuración de privacidad del espacio de trabajo

El resultado: la empresa quedó completamente bloqueada. Sin acceso a su herramienta principal de producción durante dos meses completos.

La respuesta de la empresa: análisis forense del sistema

Ante la gravedad de la situación, la empresa solicitó un informe pericial informático para documentar técnicamente lo sucedido y poder actuar en sede judicial.

Objetivos del análisis forense

El peritaje se centró en dos objetivos principales:

1. Determinar la criticidad del sistema afectado: Analizar si la plataforma de repositorios de código era realmente fundamental para la producción diaria de la empresa.
2. Extraer y certificar las acciones realizadas: Auditar los logs del sistema para documentar cada cambio de permisos, cada eliminación de usuario y cada modificación realizada, con fecha, hora e IP de origen.

Metodología aplicada

El análisis forense se realizó siguiendo la normativa UNE 197010:2015 (criterios generales para informes periciales TIC) y consistió en:

• Auditoría completa de los registros de actividad (audit log) del sistema de repositorios
• Verificación de credenciales y accesos de múltiples cuentas de usuario
• Análisis de la estructura de repositorios y proyectos afectados
• Documentación de la cadena de custodia y certificación de evidencias

Hallazgos técnicos: lo que revelaron los logs

El registro de auditoría del sistema permitió reconstruir con exactitud las acciones realizadas el día 2 de agosto de 2023. Los logs revelaron:

Secuencia de acciones documentadas

Fase 1 – Eliminación de usuarios:

• El usuario del trabajador eliminó a la cuenta corporativa principal del grupo de Administradores
• Eliminó al gerente de la empresa del grupo de Administradores
• Eliminó al otro desarrollador del grupo de Administradores
• Expulsó al gerente del espacio de trabajo (perdiendo acceso a 16 repositorios)
• Expulsó a un colaborador externo (perdiendo acceso a 4 repositorios)

Fase 2 – Toma de control:

• En este punto, el trabajador era el único usuario con acceso al sistema
• Creó una nueva cuenta personal externa (con correo privado Gmail)
• Invitó a esa nueva cuenta al espacio de trabajo
• Desde la nueva cuenta, eliminó su usuario corporativo original
• Realizó cambios en el nombre, ID y configuración de privacidad del espacio de trabajo

Direcciones IP registradas

Todas las acciones quedaron registradas con su correspondiente dirección IP de origen, lo que permitió establecer la trazabilidad completa de las operaciones.

El impacto en la empresa: paralización total

El informe pericial documentó las consecuencias operativas del bloqueo:

• Cientos de repositorios bloqueados durante dos meses
• Imposibilidad de trabajar en proyectos de clientes activos
• Pérdida del control de versiones: al recuperar datos desde copias de seguridad locales, se perdió todo el historial de cambios del código
• Necesidad de notificar una brecha de seguridad a clientes (los repositorios contenían credenciales de acceso a sistemas de clientes)
• Trabajo de recuperación manual proyecto a proyecto, con tiempos de entre 30 minutos y 4 horas por cada uno

La sentencia: despido procedente y reconocimiento de la prueba pericial

El trabajador demandó a la empresa solicitando la nulidad del despido por vulneración de derechos fundamentales o, subsidiariamente, su improcedencia.

El Juzgado de lo Social nº 8 de Murcia, en sentencia firme de diciembre de 2025, desestimó íntegramente la demanda y declaró:

• El despido disciplinario de 1 de agosto de 2023: PROCEDENTE
• El segundo despido disciplinario de 27 de septiembre de 2023 (basado en los hechos del sabotaje): PROCEDENTE
• No existió vulneración de derechos fundamentales
• No procede indemnización alguna al trabajador

Valoración judicial del informe pericial

La sentencia recoge expresamente la importancia de la prueba pericial informática. El magistrado señala en los hechos probados:

«Con fecha 2 de agosto de 2023, constan acreditadas actuaciones del trabajador en el repositorio corporativo, consistentes en la eliminación masiva de usuarios, la auto atribución como único administrador y la generación de un bloqueo operativo real a la empresa, acciones que fueron detectadas mediante registros técnicos objetivos y verificadas por medio de la pericial informática.»

Más adelante, en los fundamentos de derecho, la sentencia añade:

«El perito Gustavo Martínez ratificó que estos registros constan en los logs oficiales y que no constituyen una interpretación subjetiva.»

Y concluye:

«En el presente caso ha quedado acreditado, mediante pericia informática, que el trabajador, en fecha 2 de agosto de 2023, accedió al repositorio corporativo, eliminó usuarios, se autoatribuyó permisos exclusivos de administrador y bloqueó operativamente sistemas esenciales, generando un perjuicio grave para la empresa.»

Calificación jurídica de los hechos

El tribunal calificó las acciones como una transgresión máxima de la buena fe contractual conforme al artículo 54.2.d) del Estatuto de los Trabajadores, constituyendo una infracción grave y culpable que justificaba plenamente el despido disciplinario.

Lecciones para empresas y abogados laboralistas

Este caso ilustra varios aspectos clave sobre la prueba digital en el ámbito laboral:

Para empresas

1. Los sistemas en la nube dejan rastro: Plataformas como los repositorios de código registran cada acción con fecha, hora, usuario e IP.
2. La importancia de una auditoría forense rápida: Actuar con celeridad para preservar las evidencias digitales es fundamental.
3. El valor del informe pericial: Un dictamen técnico riguroso, elaborado conforme a normativa UNE, aporta solidez probatoria ante los tribunales.

Para abogados

1. La prueba pericial informática puede ser determinante: En casos de sabotaje informático, el informe técnico convierte logs y registros en prueba judicial válida.
2. Los hechos nuevos habilitan un segundo despido: Conforme a la jurisprudencia del Tribunal Supremo, mientras el primer despido no sea firme, la empresa puede despedir de nuevo por conductas sobrevenidas.
3. El contrainforme es esencial: En este caso, la parte demandante no presentó pericial contradictoria, lo que debilitó significativamente su posición.

Conclusión

El sabotaje informático en el entorno laboral es una realidad que puede paralizar completamente una empresa. Sin embargo, las acciones digitales dejan huella. Un análisis forense riguroso permite reconstruir los hechos, documentarlos técnicamente y convertirlos en prueba válida ante los tribunales.

En este caso, el informe pericial informático fue la pieza clave que permitió acreditar los hechos y obtener una sentencia favorable para la empresa.

---

¿Necesitas un perito informático para un caso laboral?

Si eres abogado y tienes un caso que involucra prueba digital —despidos, sabotajes informáticos, uso indebido de sistemas corporativos—, puedo ayudarte.

📧 gustavo@peritodigital.es
📞 868 18 63 60

---

Artículo basado en un caso real. Los datos personales y de empresa han sido anonimizados para preservar la confidencialidad.