Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Using Framer React Export version 2.25.3
Using Framer React Export version 2.25.3

Blog

Compliance

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance

5 minutos

-

2026-06-05

Blog

Compliance

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance

5 minutos

-

2026-06-05

Blog

Compliance

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance interno: lo que el caso Google revela sobre riesgos dentro de la empresa

Compliance

5 minutos

-

2026-06-05

Using Framer React Export version 2.25.3

Un caso reciente vinculado a un empleado de Google acusado de utilizar información interna confidencial para realizar apuestas vuelve a poner sobre la mesa una pregunta central para las organizaciones: ¿cómo prevenir el uso indebido de accesos legítimos?

El punto más relevante no es solo el monto involucrado ni la empresa afectada. La verdadera lección de compliance es que no siempre hace falta un ataque externo para generar un riesgo legal, financiero o reputacional. A veces, el riesgo comienza dentro de la organización, cuando una persona con acceso autorizado utiliza información sensible para un fin indebido.

Qué ocurrió en el caso Google

Según la información pública del caso, Michele Spagnuolo, ingeniero de seguridad informática de Google, fue acusado por el Departamento de Justicia de Estados Unidos de fraude y lavado de dinero tras presuntamente usar información interna confidencial para realizar apuestas en la plataforma Polymarket.

El caso habría involucrado datos relacionados con Year in Search, el informe anual de Google sobre los términos más buscados del año. Al contar con acceso anticipado a información aún no pública, el colaborador habría realizado apuestas basadas en resultados que ya conocía, obteniendo ganancias estimadas en aproximadamente US$ 1,2 millones.

Google respondió apartando al colaborador de sus funciones y remarcando que el uso de información confidencial para beneficio personal constituye una violación grave de sus políticas internas.

Más allá del caso específico, el episodio permite analizar un desafío que atraviesa a empresas de todos los tamaños: cómo gestionar el riesgo interno cuando los accesos son legítimos, pero el uso de la información no lo es.

El verdadero punto crítico: el acceso era legítimo

Uno de los aspectos más importantes del caso es que no se trató de una brecha de seguridad tradicional.

No hubo, según lo informado, un ataque hacker, una intrusión externa ni una vulneración sofisticada de sistemas. La información estaba disponible a través de una herramienta interna accesible para colaboradores autorizados.

Esto cambia el eje del análisis.

El problema no fue solamente tecnológico. Fue ético, organizacional y de compliance. La situación muestra que una empresa puede tener políticas, sistemas y controles, pero aun así enfrentar riesgos cuando una persona usa de forma indebida un acceso que le fue otorgado para cumplir sus funciones.

Puntos clave para las empresas

Este caso deja varias lecciones aplicables a cualquier organización:

  • El riesgo interno puede ser tan relevante como el riesgo externo.
  • Los accesos legítimos también necesitan control, trazabilidad y monitoreo.
  • Un Código de Ética no es suficiente si no se traduce en criterios prácticos.
  • Las nuevas plataformas digitales pueden crear zonas grises de conducta.
  • El Canal de Denuncias sigue siendo una herramienta clave de detección temprana.
  • La capacitación continua ayuda a que las personas comprendan límites, responsabilidades y consecuencias.

Tres lecciones de compliance que deja este caso

1. El riesgo interno es tan real como el externo

Muchas organizaciones invierten grandes recursos en prevenir ataques externos: ciberataques, intrusiones, fugas de datos o accesos no autorizados.

Esa protección es necesaria, pero no suficiente.

Los incidentes también pueden originarse dentro de la empresa. Un colaborador puede tener acceso legítimo a información confidencial, conocer los procesos internos y comprender dónde existen puntos vulnerables.

Por eso, la prevención de riesgos organizacionales debe contemplar tanto amenazas externas como internas. Esto implica revisar controles de acceso, permisos, segregación de funciones, trazabilidad de operaciones y mecanismos de monitoreo sobre información sensible.

Una pregunta útil para las áreas de Compliance y Auditoría Interna es:

¿La organización puede detectar cuándo una persona utiliza información interna de una forma que no corresponde con su función?

2. Un Código de Ética sin capacitación es solo un documento

La mayoría de las empresas cuenta con políticas sobre confidencialidad, conflictos de interés y uso responsable de la información. Sin embargo, el desafío está en que esas reglas sean comprendidas en la práctica.

No alcanza con decir que está prohibido usar información confidencial para beneficio personal. Las personas necesitan entender qué significa eso en escenarios concretos.

Por ejemplo:

  • utilizar información interna para apuestas o inversiones;
  • compartir datos no públicos con terceros;
  • aprovechar información comercial antes de que sea divulgada;
  • usar herramientas internas para fines ajenos al trabajo;
  • monetizar datos conocidos por el rol que se ocupa dentro de la empresa.

Las nuevas plataformas digitales, los mercados predictivos, la inteligencia artificial y otras formas de monetización de información pueden generar situaciones que no siempre están previstas en políticas antiguas.

Cuando las políticas no evolucionan al ritmo del negocio, aparecen zonas grises. Y esas zonas grises suelen convertirse en focos de riesgo.

3. El Canal de Denuncias es una herramienta clave de detección temprana

Los incidentes graves rara vez aparecen de forma repentina.

Antes de que una conducta indebida se convierta en una crisis, suelen existir señales: cambios de comportamiento, uso inusual de sistemas, comentarios internos, conflictos de interés, accesos reiterados a información sensible o decisiones que no tienen una explicación clara.

Muchas veces, esas señales son percibidas primero por compañeros de trabajo, líderes directos o equipos cercanos, antes que por la alta dirección.

Por eso, un canal de denuncias seguro, independiente y confiable es una pieza central de cualquier programa de compliance. Permite que las personas reporten sospechas o inquietudes sin temor a represalias y facilita que la organización investigue antes de que el problema escale.

Un canal de denuncias efectivo no debe verse solo como una obligación formal. Es una herramienta de gestión de riesgos.

Por qué este caso no aplica solo a grandes tecnológicas

Sería un error interpretar este episodio como un problema exclusivo de empresas globales o tecnológicas.

Toda organización maneja información sensible. Puede tratarse de:

  • datos financieros;
  • listas de clientes;
  • precios y márgenes comerciales;
  • negociaciones confidenciales;
  • contratos;
  • estrategias de expansión;
  • decisiones corporativas no públicas;
  • investigaciones internas;
  • información laboral;
  • datos de proveedores;
  • reportes de auditoría.

En todos estos casos, el riesgo no está únicamente en que alguien acceda a la información. El riesgo también aparece cuando una persona autorizada utiliza esa información para un fin distinto al permitido.

Una empresa mediana, una compañía familiar, una organización regional o una multinacional pueden enfrentar el mismo tipo de desafío: proteger información sensible sin paralizar la operación diaria.

Qué debe incluir un programa de compliance frente al riesgo interno

Un programa de compliance efectivo no se limita a tener políticas escritas. Necesita combinar prevención, formación, monitoreo, canales de reporte e investigación.

Código de Ética aplicable en la práctica

El Código de Ética debe explicar de manera clara qué conductas están permitidas, cuáles están prohibidas y qué criterios deben aplicarse ante situaciones ambiguas.

También debe contemplar temas como confidencialidad, conflictos de interés, uso de información interna, relación con terceros, regalos, incentivos, fraude, integridad y denuncias.


Por eso, en Resguarda desarrollamos dos recursos prácticos y gratuitos:

📄 Modelo de Código de Ética y Conducta

📋Checklist de validación del Código de Ética


Pensados para ayudar a las organizaciones a evaluar:

✔ si el código cubre los riesgos más relevantes

✔ si es aplicable en la operación diaria

✔ si está alineado con el programa de compliance

✔ si existen brechas y oportunidades de mejora

Capacitaciones continuas

La capacitación es clave para transformar una política en comportamiento.

Las personas deben recibir formación periódica, con ejemplos reales o verosímiles, adaptados a su función y nivel de exposición al riesgo. No todas las áreas enfrentan los mismos desafíos: Finanzas, Comercial, Tecnología, Recursos Humanos, Compras y Dirección suelen manejar información especialmente sensible.

Gobernanza sobre información confidencial

La organización debe definir quién puede acceder a determinada información, con qué finalidad, bajo qué controles y durante cuánto tiempo.

Esto requiere criterios claros de permisos, clasificación de información, revisión periódica de accesos y registro de actividades relevantes.

Monitoreo y alertas internas

El monitoreo no debe entenderse como vigilancia indiscriminada, sino como una herramienta proporcional de control y prevención.

Cuando una empresa gestiona información crítica, necesita poder identificar patrones inusuales, accesos fuera de lo habitual o conductas que puedan indicar un uso indebido.

Canal de Denuncias confiable

Un canal de denuncias permite detectar hechos que no siempre aparecen en auditorías o reportes formales.

Para que funcione, debe ser accesible, confidencial, confiable, conocido por toda la organización y acompañado por protocolos claros de gestión de casos.

Investigaciones internas estructuradas

Cuando surge una alerta, la respuesta debe ser ordenada e imparcial.

Las investigaciones internas permiten analizar hechos, preservar evidencias, proteger a las personas involucradas y tomar decisiones basadas en información verificable.

Preguntas que toda organización debería hacerse

El caso permite abrir una revisión interna más amplia. Algunas preguntas útiles son:

  1. ¿Qué información sensible existe dentro de la organización?
  2. ¿Quiénes tienen acceso a esa información y por qué?
  3. ¿Con qué frecuencia se revisan los permisos?
  4. ¿Las políticas contemplan usos indebidos en plataformas digitales?
  5. ¿El Código de Ética incluye ejemplos claros y actuales?
  6. ¿Los colaboradores saben cómo reportar una sospecha?
  7. ¿El canal de denuncias es percibido como confiable?
  8. ¿La empresa cuenta con protocolos para investigar posibles conductas indebidas?
  9. ¿Hay mecanismos para detectar accesos o comportamientos inusuales?
  10. ¿La alta dirección comunica con claridad las consecuencias de incumplir políticas internas?

Estas preguntas ayudan a pasar de una mirada reactiva a una lógica preventiva.

Una lección de compliance para cualquier empresa

El caso Google muestra que el riesgo interno no siempre empieza con una vulneración técnica. Puede comenzar con una decisión individual, un acceso legítimo y una oportunidad mal gestionada.

Por eso, el compliance corporativo debe mirar más allá del cumplimiento formal. La verdadera prevención requiere cultura ética, controles proporcionales, capacitación continua, canales de denuncia confiables e investigaciones internas capaces de actuar a tiempo.

La pregunta central no es si una empresa tiene riesgos internos. Toda organización los tiene.

La pregunta es si puede identificarlos antes de que se conviertan en un problema legal, financiero o reputacional.

Conclusión

El uso indebido de información confidencial es uno de los riesgos más complejos para las empresas porque puede ocurrir dentro de procesos aparentemente normales. Una persona autorizada puede acceder a datos sensibles y, aun así, utilizarlos de una manera contraria a las políticas internas y a los principios de integridad corporativa.

Para reducir este riesgo, las organizaciones necesitan programas de compliance vivos, no documentos estáticos. Eso implica revisar accesos, capacitar, actualizar políticas, fortalecer el canal de denuncias y contar con investigaciones internas profesionales cuando surgen alertas.

En Resguarda ayudamos a las organizaciones a fortalecer su estructura de integridad mediante canales de denuncias, gestión de casos, investigaciones internas, capacitaciones y soluciones de compliance adaptadas a los riesgos reales de cada empresa.


Notas relacionadas

5 consejos para construir una cultura ética en su compañía

Etica

5 minutos

-

2025-03-05

5 consejos para construir una cultura ética en su compañía

En este artículo encontrará 5 consejos para promover una cultura ética e inclusiva dentro de su organización.

Ver más

6 beneficios de implementar la Línea Ética de Resguarda

Etica

5 minutos

-

2024-12-04

6 beneficios de implementar la Línea Ética de Resguarda

En este artículo encontrará 5 ventajas de implementar la Línea Ética de Resguarda para prevenir, detectar y gestionar riesgos en su empresa.

Ver más

Arioac 2024: Resguarda presente en el México Talent RH

Resguarda

5 minutos

-

2024-10-21

Arioac 2024: Resguarda presente en el México Talent RH

El pasado 17 y 18 de octubre, Resguarda participó en el “Congreso Nacional de Capital Humano y Networking” organizado por la Arioac, uno de los eventos más importantes en materia de Recursos Humanos.

Ver más