El espionaje corporativo -a veces también llamado espionaje industrial, espionaje económico o espionaje corporativo- es la práctica de utilizar técnicas de espionaje con fines comerciales o financieros. Normalmente pensamos en el «espionaje» en términos de espías que trabajan en nombre de un gobierno tratando de obtener información sobre otro. Pero en realidad, muchas de las mismas técnicas -e incluso muchos de los mismos espías- funcionan en ambos ámbitos.
Tipos de espionaje industrial
LegalMatch esboza una serie de técnicas que caen bajo el paraguas del espionaje industrial:
- Ingresión en la propiedad de un competidor o acceso a sus archivos sin permiso
- Se hace pasar por empleado de un competidor para conocer secretos comerciales de la empresa u otra información confidencial información confidencial
- Intervenir a un competidor
- Hackear los ordenadores de un competidor
- Atacar el sitio web de un competidor con malware
Pero no todo el espionaje corporativo es tan dramático. Gran parte de él puede adoptar la forma simple de una persona con información privilegiada que transfiere secretos comerciales de una empresa a otra – un empleado descontento, por ejemplo, o un empleado que ha sido contratado por un competidor y se lleva información que no debería.
Luego está la inteligencia competitiva – que es, para decirlo en términos de infoseguridad, el hacking de sombrero blanco del espionaje corporativo. Las empresas de inteligencia competitiva dicen que son legales y transparentes, y recopilan y analizan información que es en gran parte pública y que afectará a la fortuna de sus clientes: fusiones y adquisiciones, nuevas normativas gubernamentales, conversaciones en blogs y redes sociales, etc. Pueden investigar los antecedentes de un ejecutivo de la competencia, no para desenterrar cosas sucias, dicen, sino para tratar de entender sus motivaciones y predecir su comportamiento. Esa es la teoría, aunque a veces, como veremos, la línea que separa a estos operadores de la criminalidad puede ser muy fina.
También vale la pena señalar aquí que no todo el espionaje corporativo implica a empresas privadas que espían a otras empresas privadas. Los gobiernos también entran en el juego, especialmente en los países en los que muchas empresas son de propiedad estatal y el régimen considera el desarrollo económico como un objetivo nacional importante. Como resultado, otros gobiernos también se ven implicados en diversos grados; una de las principales motivaciones que ha dado el presidente Trump para intensificar la guerra comercial con China ha sido luchar contra el robo chino de secretos comerciales estadounidenses. Cuando los actores estatales están involucrados en el proceso, el término específico que se utiliza a menudo es espionaje económico.
¿Es el espionaje industrial un delito?
Mucha gente tiene la impresión de que espiar a una empresa privada no es ilegal de la misma manera que espiar, por ejemplo, a un país extranjero. Y es cierto que no es ilegal obtener información sobre los competidores por medios legales, incluso si esos medios son secretos o engañosos. Por ejemplo, puede enviar «compradores secretos» a la tienda de un rival para ver cómo hacen negocios, o contratar a un investigador privado para que merodee por una feria comercial y vea lo que puede escuchar.
Pero más allá de eso, las cosas se vuelven legalmente más complicadas. En general, la adquisición de secretos comerciales (secretos comerciales que tienen valor monetario para las empresas que los poseen) sin el consentimiento de sus propietarios va en contra de la ley.
La ley federal estadounidense que regula el espionaje corporativo es la Ley de Espionaje Económico de 1996. La ley convirtió por primera vez el robo de secretos comerciales (a diferencia de la información clasificada o de defensa nacional) en un delito federal, y codifica una definición detallada de lo que constituye un secreto comercial. También establece sanciones para el espionaje empresarial, que pueden ascender a millones de dólares y años de prisión. Gran parte de las medidas más duras de la ley se dirigen a quienes transfieren secretos comerciales a empresas o gobiernos extranjeros y, de hecho, la primera condena en un juicio en virtud de la ley se refería a un ingeniero de Boeing que había vendido secretos comerciales a China.
Sin embargo, es importante tener en cuenta que no todos los casos de espionaje empresarial merecen ser procesados penalmente, y el Departamento de Justicia de EE. El Departamento de Justicia de los EE.UU. ha establecido directrices para los casos que se deben perseguir:
- El alcance de la actividad criminal, incluyendo la evidencia de la participación de un gobierno extranjero, agente extranjero,
- El grado de perjuicio económico para el propietario del secreto comercial
- El tipo de secreto comercial malversado
- La eficacia de los recursos civiles disponibles
- El potencial valor disuasorio de la persecución
Pero el hecho de que un acto no merezca ser perseguido no lo convierte en legal, y las violaciones pueden servir de base para demandas en los tribunales civiles. Y, por último, muchos estados de EE.UU. tienen sus propias leyes sobre el espionaje corporativo que son más estrictas que la ley federal; el caso de «pretexting» de Hewlett-Packard (del que hablaremos más adelante) implicó una conducta que no era ilegal según la ley federal de EE.UU. pero sí lo era en California, y dio lugar a una multa de 14 millones de dólares.
Un estudio de caso de espionaje corporativo
El proveedor de seguridad Securonix ha puesto a disposición un gran estudio de caso de un acto típico de espionaje corporativo. Dos personas que habían sido compañeros de clase en un programa de doctorado en la Universidad del Sur de California (USC) se pusieron a trabajar para empresas tecnológicas estadounidenses y exfiltraron lenta y metódicamente datos durante varios años a colaboradores en China, con la intención de crear su propia empresa allí con la propiedad intelectual robada. Securonix expone los métodos utilizados y lo que los atacantes hicieron bien, y mal.
Ejemplos de espionaje empresarial e industrial
Una de las verdades sobre el espionaje empresarial es que la mayoría de los casos no se denuncian, aunque las víctimas se enteren. Esto se debe a que el daño a la reputación de la víctima si se revela que no ha hecho su debida diligencia en materia de seguridad puede ser mayor que el beneficio de emprender acciones legales contra su atacante. Sin embargo, ha habido muchos casos de espionaje corporativo de alto nivel, sobre todo en la industria tecnológica, donde las ideas y el código son muy importantes y se pegan fácilmente en un correo electrónico.
- El vicepresidente fugitivo. Danny Rogers, director general y fundador de la startup de inteligencia de datos de la web oscura Terbium Labs, dijo a CSOonline que una vez trabajó en una pequeña empresa en la que el vicepresidente de ingeniería se marchó y se llevó todos los datos y archivos de la compañía para irse a un competidor más grande. Ese competidor intentó entonces competir con la empresa por un contrato. Al final, la policía se involucró, la persona fue procesada y luego fue a la cárcel.
- La guerra civil de HP. Uno de los casos de espionaje industrial de mayor repercusión de la década de los noventa fue el de Hewlett-Packard espiando… a sí misma. Desesperada por descubrir quién estaba filtrando información perjudicial a la prensa, la empresa contrató a varias agencias de investigación para que espiaran a los miembros de su propio consejo de administración, que a su vez recopilaron los registros telefónicos de los objetivos mediante «pretextos», es decir, contactando con las compañías telefónicas y haciéndoles creer que eras el propietario de la cuenta telefónica de la que querías obtener información. Es un acto criminal en California, y la saga acabó con las carreras de varios ejecutivos de HP.
- Batalla de las hojas. En 1997, Steven L. Davis era ingeniero de control de procesos de Wright Industries Inc, subcontratista de Gillette, y acababa de ser degradado a un puesto inferior en el proyecto Mach 3 de la empresa. Enfadado por lo que consideraba un ataque a su carrera, decidió vengarse enviando secretos comerciales sobre el proyecto Mach 3, sin solicitarlo y sin pedir dinero en efectivo, a varios rivales de Gillette. Honorablemente, Schick denunció inmediatamente el hecho a Gillette, que involucró al FBI, y Davis acabó yendo a la cárcel durante más de dos años.
- Una investigación basura. En el año 2000, Microsoft se encontraba en plena lucha contra una demanda antimonopolio del gobierno federal de Estados Unidos, y Larry Ellison, director general de Oracle, sospechaba que dos organizaciones de investigación supuestamente independientes que publicaban informes a favor de Microsoft, el Independent Institute y el National Taxpayers Union, estaban secretamente en la nómina de Redmond. Después de ser sorprendido pagando a los investigadores para adquirir la basura de los grupos, Ellison afirmó que Oracle sólo estaba cumpliendo con su «deber cívico» para ayudar al caso del gobierno, y se ofreció a enviar la basura de su propia empresa a la sede de Microsoft en aras de una total transparencia.
- No es muy hospitalario. En 2010, dos grandes cadenas hoteleras, Hilton Worldwide y Starwood Resorts & Hotels, resolvieron una disputa legal sobre espionaje industrial de una forma que demuestra lo elevadas que pueden ser las penas incluso si no se persigue la acción penal. El escándalo surgió cuando Hilton, tratando de replicar el éxito de la marca W de Starwood de «hoteles de estilo de vida», contrató a dos ejecutivos de Starwood, que se llevaron secretos comerciales. En el acuerdo legal subsiguiente, Hilton aceptó pagar a Starwood 75 millones de dólares en efectivo, ofrecerles otros 75 millones de dólares en contratos de gestión hotelera, no abrir ninguna marca de hoteles de estilo de vida durante dos años y someterse a la vigilancia de un tribunal para garantizar el cumplimiento.
Para ver más ejemplos divertidos, echa un vistazo a esta lista de CSOonline.
Trabajos de espionaje corporativo
Si el mundo del espionaje corporativo te parece apasionante, quizá quieras echar un vistazo a SCIP, la organización comercial para profesionales de la inteligencia competitiva. Pueden ponerte en contacto con recursos y otra información.
En cuanto a cómo entrar en el campo: bueno, muchas de las personas que trabajan en el espionaje corporativo se iniciaron en el lado gubernamental del trabajo de espionaje. De hecho, muchos son ex agentes de la CIA y el FBI que utilizan las habilidades que han adquirido con el Tío Sam para proteger o promover la causa de las empresas privadas, por lo que algunos se han preguntado si los contribuyentes estadounidenses están subvencionando el espionaje corporativo.
Empresas de espionaje corporativo
Las grandes corporaciones a menudo mantienen sus propios departamentos internos de inteligencia competitiva, con analistas internos que tratan de mantener una ventaja sobre la competencia. Algunas de las empresas que más gastan están en el sector farmacéutico; más de una cuarta parte de las empresas farmacéuticas gastan más de 2 millones de dólares al año en inteligencia competitiva. Pero casi cualquier gran empresa gastará dinero en medidas de contrainteligencia; después de que Nasim Najafi Aghdam intentara atacar la sede de YouTube en 2018, un ejecutivo de Google dijo a Vanity Fair que se le había impedido por casualidad entrar en el edificio gracias a las medidas de seguridad que en realidad se habían puesto en marcha para proteger los datos.
También hay empresas y consultorías independientes que se especializan en el espionaje corporativo e industrial, y sus nombres tienden a aparecer en las noticias solo cuando han hecho algo particularmente espeluznante o atroz. Entre ellas se encuentran Kroll, Inc, que ayudó a recuperar fondos saqueados por un régimen dictatorial, pero que también guarda secretos para las empresas bancarias de Wall Street; C2i International, que se infiltra en grupos activistas, no sólo para informar de sus actividades, sino también para poner a sus miembros en contra de los demás; y Black Cube, una empresa fundada por ex agentes del Mossad que trabajó para socavar a las acusadoras de Harvey Weinstein.
Películas de espionaje corporativo
¿Quieres ver espionaje industrial en la gran pantalla? Una de las películas de mayor éxito sobre el tema de los últimos años es Inception, en la que aparecen consultores que intentan hacerse con secretos corporativos. Por supuesto, está el pequeño asunto de los métodos que utilizaron -invadir los sueños de sus sujetos- que no es del todo realista.
Para una visión algo más realista, tal vez quieras ver Duplicity, una infravalorada película de cabriolas de 2009 protagonizada por Julia Roberts y Clive Owen, que además de no implicar paisajes oníricos de ciencia ficción tiene el añadido realista de convertir a sus dos estrellas en ex-espías de la CIA y el MI-6 que luego se dedican a la inteligencia corporativa.
Más sobre espionaje empresarial
- 4 factores para evitar ataques de ciberespionaje
- Espionaje cibernético: China quiere la propiedad intelectual de las empresas japonesas
- Espionaje industrial: Secretos robados, fortunas perdidas
- La charla de Defensa Con da consejos de baja tecnología para detectar la vigilancia de alta tecnología
- El robo de hojas de té y la evolución de la prevención del ciberespionaje