← Blog · Peritaje · Legal · 9 de junio, 2026 · 10 min de lectura

📁 Empleado se fue con la información de tu empresa: qué hacer legal y técnicamente.

El momento más delicado: acabas de descubrir que tu ex empleado tiene tus bases de datos, tus clientes, tus procesos o tus diseños. El tiempo es crítico — cada hora que pasa el rastro digital se enfría y la evidencia desaparece.

A
Equipo Aztec Studio
Peritaje Informático · Legal tech México
72 horas
ventana crítica para preservar evidencia digital

Cada año, cientos de empresas mexicanas se enfrentan a la misma situación: el empleado que más confiaba — el que tenía acceso a clientes, a precios, a procesos internos — se va. Y semanas después aparecen señales de que no se fue con las manos vacías.

Lo peor de este escenario no es el robo en sí. Es que la mayoría de empresas no sabe qué hacer en las primeras 48 horas, y con cada hora que pasa destruyen sin querer la evidencia que necesitarían para actuar legalmente.

Esta guía es el proceso exacto: qué hacer, en qué orden, y por qué cada paso importa.

¿Qué señales indican que un empleado copió información?

Antes de entrar en pánico — o peor, en acción precipitada — es útil identificar si hay indicios reales. Las señales más comunes que vemos en casos de peritaje:

  • Tu competencia de repente conoce tus precios o te "roba" clientes. Un competidor que de un día a otro sabe exactamente qué cobras o a quién le estás cotizando es una señal muy seria. Si el patrón coincide con la salida de un empleado, hay que actuar.
  • Transferencias masivas de archivos en los últimos días antes de la renuncia. Los logs de acceso a servidores o la actividad de carpetas compartidas muestran patrones claros: alguien que de repente descarga 400 documentos en dos días no está "ordenando su escritorio".
  • Accesos inusuales fuera de horario. Conexiones a las 11 PM, los fines de semana o desde IPs desconocidas en los días previos a la salida son señales que quedan registradas — si alguien los revisa a tiempo.
  • El empleado usó su propio email o un USB para transferir archivos. Enviarse archivos de trabajo a un correo personal, o conectar dispositivos externos en los últimos días, son acciones que dejan rastro forense.
  • Un cliente te dice que el ex empleado ya lo contactó ofreciendo el mismo servicio. Esto es evidencia directa de uso de información de la empresa.

Si identificas dos o más de estas señales, estás ante un caso que merece documentarse con urgencia.

Lo que NO debes hacer en las primeras 48 horas

Este punto es tan importante como saber qué hacer. En la mayoría de los casos que llegan a peritaje, el principal daño a la evidencia lo causó la propia empresa — con las mejores intenciones.

  1. NO toques la computadora del empleado. Ni para "ver qué hay", ni para copiar archivos de respaldo, ni para asignarla a otro colaborador. Cada acción en el disco modifica metadatos de archivos que son evidencia. El acceso sin protocolo forense contamina la cadena de custodia.
  2. NO formatees ni borres el equipo. Es el error más costoso. Aunque el equipo "ya no se necesite", el disco contiene el registro completo de lo que copió el empleado: nombres de archivos, fechas exactas, destinos. Una vez formateado, esa información puede ser irrecuperable.
  3. NO le asignes el equipo a otro empleado todavía. Cada arranque del sistema, cada login, cada archivo abierto sobreescribe datos del disco que el perito necesita. Incluso Windows actualiza fechas de acceso solo por encender el equipo.
  4. NO confrontes al ex empleado todavía. Una confrontación prematura puede provocar que destruya su lado de la evidencia: borrar archivos, formatear su equipo personal, eliminar correos. El elemento sorpresa es valioso en estas situaciones.
  5. NO llames a tu técnico de TI a "revisar". Con todo el respeto a los técnicos de soporte, una revisión informal no preserva la evidencia de forma forense. Si tu técnico "revisa" el equipo y luego un juez pregunta cómo se obtuvo la evidencia, no hay una respuesta legal sólida.
  6. SÍ revoca accesos de inmediato. El único paso urgente de acción es cortar el acceso: email corporativo, CRM, servidores, nube, VPN. Esto limita el daño futuro sin tocar la evidencia ya existente.
La evidencia digital es frágil. La contamina quien la toca sin protocolo. El primer paso correcto no es "ver qué pasó" — es asegurar el equipo y no tocarlo hasta que llegue alguien que sepa cómo hacerlo.

El proceso legal en México — qué opciones tienes

Una vez asegurada la evidencia, la ruta legal depende de qué información se tomó, quién la tiene y qué pretende hacer con ella. En México tienes varias vías complementarias:

Denuncia penal

El Código Penal Federal, artículo 223 tipifica la revelación de secretos. La Ley Federal de Protección a la Propiedad Industrial (vigente desde 2020, que sustituyó a la Ley de la Propiedad Industrial) protege expresamente los secretos industriales — que incluyen listas de clientes, procesos internos, fórmulas, estrategias comerciales y bases de datos.

Para que proceda la denuncia penal, necesitas demostrar que: (1) la información tenía carácter confidencial, (2) el empleado tenía acceso legítimo a ella por su cargo, y (3) la divulgó o se la apropió sin autorización. Un dictamen pericial informático que documente la copia es la pieza central de esta demostración.

Demanda laboral por daños y perjuicios

Aunque el empleado ya no esté en la empresa, existe la posibilidad de demandar civil o laboralmente por los daños causados. Si existía un contrato de confidencialidad o una cláusula en el contrato de trabajo, la acción es más directa. Si no existía ese contrato, el camino es más complejo — pero no imposible si la evidencia es sólida.

Medida cautelar de prohibición de uso

Antes o durante el juicio, puedes solicitar una medida cautelar que ordene judicialmente al ex empleado no usar ni difundir la información. Si ya está trabajando para un competidor, esta medida puede extenderse a esa empresa. El requisito para obtenerla es precisamente demostrar que existe la información y que fue copiada — lo que el dictamen pericial acredita.

Acción por competencia desleal

Si el ex empleado ya está usando tu información para competir contigo — captando a tus clientes, ofreciendo tus precios, usando tus procesos — hay acción por competencia desleal tanto en la vía civil como en la administrativa ante el IMPI (Instituto Mexicano de la Propiedad Industrial).

223
Artículo del Código Penal Federal que tipifica la revelación de secretos — base de la denuncia penal
72h
Ventana crítica para actuar. Después de 72 horas, logs y metadatos críticos comienzan a desaparecer
3
Piezas del trípode legal: dictamen pericial + contrato de confidencialidad + acta de entrega de equipo

Cómo el peritaje informático documenta el robo

El trabajo del perito no es "buscar cosas" en la computadora del empleado. Es hacer una imagen forense — una copia bit a bit del disco — y analizarla con herramientas certificadas, de manera que el proceso sea reproducible y verificable por cualquier contraparte.

Con esa imagen forense, el perito puede determinar con precisión:

  • Fecha y hora exacta de cada copia. Los metadatos de los archivos registran cuándo fue creado, modificado y accedido cada uno. Si alguien copió 200 archivos a las 11:47 PM del martes anterior a su renuncia, eso queda documentado con precisión de segundos.
  • Nombre y tipo de cada archivo copiado. El perito puede listar qué documentos específicos se movieron: bases de clientes, cotizaciones, contratos, diseños, código fuente. Si esos archivos no deberían estar fuera de la empresa, eso queda establecido en el dictamen.
  • Destino de la copia. Si los archivos se copiaron a una USB, el registro lo muestra — incluyendo el identificador único del dispositivo. Si se enviaron por correo o se subieron a Google Drive o Dropbox, los registros de actividad del sistema lo capturan.
  • Hash de verificación que no puede impugnarse. Cada archivo en la imagen forense tiene un hash criptográfico (SHA-256 o MD5) que es su "huella digital". Si la contraparte alega que el perito manipuló los archivos, el hash lo desmiente: cualquier modificación cambia el hash.

El resultado es un dictamen pericial — un documento técnico-legal con valor probatorio — que describe paso a paso cómo se obtuvo la evidencia, qué herramientas se usaron, y qué se encontró. Este dictamen puede presentarse ante un juez, un tribunal laboral o en una audiencia de careo.

El rol de los logs de red y Active Directory

El análisis del equipo del empleado es la fuente principal de evidencia, pero no la única. Si la empresa tiene infraestructura de red gestionada, hay fuentes complementarias que el perito puede integrar al dictamen:

Active Directory y logs de servidor

Active Directory registra cada inicio de sesión, cada acceso a recursos compartidos y cada cambio de permisos. Si el empleado tuvo acceso a carpetas o servidores que normalmente no usaba en sus últimas semanas de trabajo, eso queda en el log del AD con fecha, hora y equipo desde donde se conectó.

Los servidores de archivos Windows y los sistemas NAS también mantienen logs de acceso. Un análisis de 60 a 90 días antes de la salida del empleado puede mostrar un patrón de comportamiento anómalo muy claro: descarga masiva de documentos, acceso a carpetas de otros departamentos, conexiones en horarios inusuales.

Logs del firewall y del router

Si la empresa tiene un firewall con logs habilitados, el perito puede ver qué conexiones externas hizo el equipo del empleado: subidas a servicios de nube (Dropbox, Drive, WeTransfer), conexiones a correos personales (Gmail, Hotmail), transferencias de volumen inusual.

Estos logs son especialmente valiosos cuando se combinan con el análisis del equipo: si el análisis forense del disco muestra que se abrió un archivo a las 10:23 PM, y el log del firewall muestra una subida de 40 MB a Drive a las 10:25 PM desde esa misma IP, el caso es prácticamente inapelable.

Correo corporativo

Si el empleado usó el correo corporativo para enviarse archivos, esos mensajes siguen en el servidor — a menos que alguien los haya borrado (y si los borró, eso también deja rastro). Un volcado del buzón del empleado, debidamente gestionado, es evidencia admisible.

Cuánto tiempo tienes antes de que la evidencia desaparezca

La evidencia digital no dura para siempre. Hay ventanas específicas para cada tipo de registro:

  • Logs del router o firewall: entre 30 y 90 días, dependiendo de la configuración y el espacio disponible. Muchos routers de gama baja sobreescriben los logs cada 7-14 días. Si tienes un firewall UTM, probablemente tienes 60-90 días.
  • Logs de Active Directory: entre 30 y 180 días, según la política de retención configurada. Empresas sin política explícita suelen tener los 30 días predeterminados de Windows Server.
  • Historial del disco del empleado: disponible hasta que el disco se sobreescriba. En una computadora que se le asignó a otra persona inmediatamente, puede quedar destruido en horas. En un equipo en bodega, puede estar intacto meses después.
  • Metadatos de archivos en servidores: permanecen hasta que los archivos se muevan, renombren o eliminen — operaciones rutinarias que ocurren sin intención de destruir evidencia.

La conclusión práctica: actuar en las primeras 72 horas no es urgencia exagerada, es la diferencia entre tener caso y no tenerlo. Asegurar el equipo físicamente, no tocarlo, y contactar a un perito el mismo día — eso es lo que separa a las empresas que logran documentar el caso de las que lo lamentan.

Para abogados — cómo estructurar la demanda con el dictamen pericial

Si llevas un caso de este tipo y ya tienes o planeas obtener un dictamen pericial, esta es la arquitectura más sólida para la acción legal:

El trípode de la acción

Los tres documentos que forman el sustento probatorio son:

  1. El dictamen pericial informático. Establece el hecho técnico: qué archivos se copiaron, cuándo, hacia dónde. Es la base objetiva e irrebatible del caso. Sin esto, el resto de la demanda depende de testimonios que pueden contradecirse.
  2. El contrato de confidencialidad o la cláusula NDA. Establece la obligación jurídica: el empleado sabía que esa información era confidencial y no podía llevársela. Si no existe un NDA explícito, el artículo 76 de la Ley Federal del Trabajo establece obligaciones generales de fidelidad y confidencialidad que pueden invocarse.
  3. El acta de entrega de equipo. Establece la relación de posesión: este equipo, con sus archivos, estaba bajo custodia del empleado. Si en el momento de la baja no se levantó un acta de entrega, el perito puede documentar que el equipo estuvo bajo uso exclusivo del empleado a través del análisis de usuarios, contraseñas y patrones de actividad.

Estos tres documentos combinados — hecho técnico + obligación jurídica + relación de posesión — forman un caso difícil de rebatir.

La participación del perito en careo

En casos donde la contraparte impugna el dictamen pericial, el perito puede ser citado a un careo pericial o a ratificar su dictamen en audiencia. Un perito experimentado no solo defiende sus conclusiones — explica la metodología en términos que el juez pueda entender, y desmonta las objeciones técnicas de un perito contrario.

Si el caso llega a esta instancia, es importante que el dictamen esté redactado con esta posibilidad en mente: lenguaje técnico preciso pero con explicaciones de apoyo, cadena de custodia documentada en cada paso, y conclusiones que se deriven directamente de los hallazgos sin saltar a interpretaciones que la contraparte pueda cuestionar.

← Aztec Studio · Peritaje Informático
¿Tu empleado se fue con información de tu empresa?

Hacemos imágenes forenses con cadena de custodia documentada, análisis de logs y dictámenes periciales con valor probatorio en México. Si estás en las primeras 72 horas, cada hora cuenta. Contáctanos hoy — explicamos el proceso sin compromiso y te decimos en la primera llamada si hay un caso viable.

Ver servicio de peritaje → Hablar de mi caso

Checklist: qué hacer ahora mismo

Si sospechas que ya ocurrió o está ocurriendo, este es el orden correcto de acciones:

  1. Asegura el equipo del empleado físicamente. Sácalo de circulación, ponlo en un lugar bajo llave. No lo enciendas, no lo conectes a internet.
  2. Revoca todos los accesos de inmediato: email corporativo, CRM, ERP, servidor, nube, VPN, acceso físico a instalaciones.
  3. Haz una lista de qué información tenía acceso. Documentos, bases de datos, cuentas, claves. Esto orienta el alcance del peritaje.
  4. Contacta a un perito informático hoy. No mañana. No "cuando tenga tiempo". El perito puede orientarte en la primera llamada sobre qué evidencia preservar y cómo.
  5. Habla con tu abogado en paralelo. El perito y el abogado trabajan juntos — el primero documenta el hecho, el segundo define la estrategia legal.
  6. No confrontes al ex empleado todavía. Espera a tener el dictamen en mano. Con evidencia sólida, la posición negociadora es completamente diferente.
  7. Documenta las señales que ya observaste. El cliente que te avisó, el correo sospechoso, la llamada extraña. Todo suma al expediente.

La diferencia entre las empresas que logran acción legal efectiva y las que no es casi siempre la misma: las primeras actuaron rápido, protegieron la evidencia y trajeron a los profesionales correctos en las primeras 48-72 horas. Las segundas esperaron, tocaron el equipo, o se enteraron demasiado tarde.

Si ya estás leyendo esto y reconoces tu situación, escríbenos hoy. Te decimos en la primera conversación si hay un caso viable y qué pasos dar.

Más sobre peritaje e información digital
Ver todo el blog →
💬
Peritaje · Legal

¿Sirve WhatsApp como prueba en juicio?

En México, los mensajes de WhatsApp sí son admisibles como prueba — pero con condiciones exactas que pocos conocen. Cómo presentarlos correctamente.

Lectura · 8 minLeer →
🔍
Peritaje · Legal

¿Qué hace un perito en informática?

Muchas empresas no saben que existe este servicio hasta que lo necesitan urgentemente. Qué hace, cuándo convocarlo y qué esperar del proceso.

Lectura · 9 minLeer →