+DR
Amenazas y seguridad

Mi ex/empleado borró información importante: qué se puede hacer

📅 19 de marzo de 2026 ✍️ Equipo +DR Data Recovery ⏱️ 6 min lectura
Mi ex/empleado borró información importante: qué se puede hacer

El sabotaje silencioso es más común de lo que parece

Empleados despedidos o que renuncian con resentimiento a veces borran información antes de irse. Bases de datos, documentos, contactos, proyectos. Puede ser por venganza, miedo a la competencia, o simplemente “cuidando su salida”.

Esta guía es para casos donde necesitas recuperar Y documentar legalmente el sabotaje.

Acción inmediata (primeras horas)

1. AISLA el equipo / cuenta inmediatamente

  • Cambia contraseñas de email empresarial.
  • Revoca acceso VPN.
  • Bloquea VPN, AD, accesos físicos.
  • Si tienes el equipo físico (laptop devuelta), apágalo y NO lo enciendas más.

2. Documenta el descubrimiento

  • Fecha y hora exacta de cuando notaste la pérdida.
  • Quién lo notó.
  • Qué archivos faltan específicamente.
  • Captura de pantalla del estado actual.

3. NO sigas usando el equipo afectado

Si descubres que un equipo aún tiene actividad de borrado, apágalo. Cada operación adicional reduce las posibilidades de recuperación forense.

Qué se puede recuperar

Borrado simple

Si el empleado solo seleccionó archivos y los envió a la papelera (o vació papelera), son altamente recuperables en HDD. En SSD con TRIM, más difícil.

Borrado con tools profesionales

Si usó tools como SDelete, Eraser, BleachBit con sobreescritura, es prácticamente imposible.

Archivos en otros sistemas

A menudo los archivos también existían en:

  • Email (enviados o recibidos por el empleado).
  • OneDrive / Google Drive / SharePoint.
  • Servidor de archivos compartido (con backup propio).
  • Backups del sistema.
  • Computadoras de otros empleados que recibieron copias.

El componente forense

Si vas a tomar acción legal (laboral o civil), la recuperación debe ser forense, no improvisada.

Por qué importa

Una recuperación normal puede destruir evidencia. Necesitas:

  • Manejo del equipo con cadena de custodia documentada, válida ante un tribunal.
  • Reportes técnicos firmados por experto certificado.
  • Un proceso que preserve la integridad de la evidencia.

Qué entrega un lab forense

  • Reporte detallado de qué se borró, cuándo, cómo.
  • Logs de actividad si están disponibles.
  • Evidencia con integridad verificable.
  • Testimonio experto si llega a juicio.

Patrones comunes que detectamos

  • “Borrado masivo final”: miles de archivos eliminados en últimos días antes de salida.
  • “Borrado selectivo”: solo archivos de proyectos sensibles. Implica conocimiento de qué llevaba.
  • “Limpieza de evidencia”: logs borrados, historial de navegación limpio.
  • “Filtración + borrado”: archivos copiados a USB externo y luego borrados del original.

Cada patrón es importante para el análisis legal.

Lo que SÍ puedes hacer (sin lab forense)

Si el caso no requiere evidencia legal y solo quieres recuperar archivos:

  1. No uses más el equipo afectado.
  2. Verifica backups primero. Casi siempre hay copia.
  3. Recovery con tools estándar si no tiene componente forense.

Lo que NO debes hacer

  • ❌ “Reinstalar Windows” para limpiar el equipo. Destruye evidencia.
  • ❌ Dar acceso al equipo a varios técnicos. Rompe cadena de custodia.
  • ❌ Restaurar backup encima del estado actual. Sobreescribe forensia.
  • ❌ Confrontar al empleado mostrando lo que recuperaste si planeas acción legal.
  • ❌ Borrar otras cosas para “limpiar” el equipo.

Aspectos legales en RD

Laborales

  • Despido con justa causa puede aplicar (Art. 88 Código Trabajo).
  • Reclamación de daños y perjuicios civiles.
  • Solicitud de medidas conservatorias.

Penales

  • Sabotaje informático puede ser delito penal según Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología.
  • DICAT (División de Investigación de Crímenes y Delitos de Alta Tecnología) recibe denuncias.

Asesoría

  • Indispensable abogado especializado en laboral + tech.
  • Coordinación con perito forense informático (lab profesional).

Cómo procede un caso típico

  1. Empresa contrata lab + abogado.
  2. El lab recibe el equipo preservando la cadena de custodia.
  3. Lab analiza qué se borró y cuándo.
  4. Reporte forense apto para procedimiento.
  5. Lab recupera datos para uso operativo de la empresa.
  6. Si va a juicio, perito testifica.

Costo y tiempo

El costo de un caso forense depende de la complejidad y del alcance legal. Te damos cotización fija antes de empezar; escríbenos o revisa /precios. El tiempo va de 5 a 15 días según complejidad.

Conclusión

Un empleado que borra información puede destruir años de trabajo, pero también puede tener consecuencias legales para él. La clave: actuar rápido, no contaminar la evidencia, y trabajar con un laboratorio que entienda el componente forense.

+DR Data Recovery hace casos forenses con cadena de custodia documentada. NDA estándar. Reportes aptos para procesos legales.

¿Necesitas este servicio?

Cotización fija antes de empezar.

Ver servicio →

📞 ¿Caso urgente?

Cotización fija antes de tocar tu dispositivo. Pago del servicio solo si recuperamos. Ingreso al lab desde RD$ 1,500 (gratis para memorias y celulares).

WhatsApp ahora Formulario

Artículos relacionados

Amenazas y seguridad

Confidencialidad en recuperación de datos: cómo protegerte

Tus archivos pueden contener información sensible. Cuando los entregas a un lab, ¿cómo aseguras la confidencialidad? Te explicamos.

 Amenazas y seguridad

Ransomware en RD: cómo recuperar tus archivos sin pagar

Tu empresa fue víctima de ransomware. ANTES de pagar, considera estas alternativas técnicas y legales. Guía urgente.

 Amenazas y seguridad

Recuperación de datos corporativos con NDA: cómo trabajamos

Para empresas, gobierno y casos legales: el proceso de recuperación bajo NDA y cadena de custodia documentada.
WhatsApp Llamar