El whistleblower hostil: cómo detectar y gestionar la instrumentalización maliciosa del canal interno sin vulnerar la Ley 2/2023

La Ley 2/2023 obliga a implantar canales internos de denuncia y protege al informante de buena fe frente a represalias. Su efecto colateral menos analizado es la instrumentalización maliciosa del canal: denuncias fabricadas para sabotaje competitivo, ataque reputacional, presión negociadora en ceses o cobertura del infractor real. El órgano gestor puede y debe diseñar filtros adversariales de triage sin vulnerar la protección legal. No hacerlo tiene un coste operativo, jurídico y reputacional creciente.

Lo que la Ley 2/2023 no resuelve

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas, ha transformado el paisaje del compliance corporativo español.  Su transposición de la Directiva UE 2019/1937 impone a las organizaciones con cincuenta o más trabajadores la obligación de implantar un Sistema Interno de Información, garantizar su confidencialidad, gestionar las denuncias recibidas en plazos tasados y proteger al informante frente a cualquier forma de represalia.

El debate público y la literatura especializada se han centrado, lógicamente, en ese lado de la ecuación: los derechos del denunciante, los plazos del canal, las obligaciones del órgano gestor, el régimen sancionador. Es el lado que la ley regula con mayor detalle y el que genera mayor exposición institucional inmediata.

Lo que apenas se ha analizado es el lado opuesto. La misma arquitectura legal que protege al informante de buena fe crea, de forma no intencionada, un instrumento de presión extraordinariamente útil para quien actúa de mala fe. Un canal con protección reforzada, gestión obligatoria y consecuencias reputacionales graves para el denunciado es, en manos de un actor hostil, una herramienta de ataque de bajo coste y alto impacto.

El efecto colateral no previsto: el canal como herramienta de ataque

El canal interno de denuncias resuelve un problema real: el informante de buena fe que detecta una irregularidad y teme las consecuencias de revelarla. Pero al resolver ese problema, genera un incentivo nuevo que antes no existía: cualquier actor dentro —o con acceso— a la organización dispone ahora de un mecanismo formal, protegido y de activación sencilla para dirigir una investigación contra cualquier persona de su entorno organizativo.

La denuncia maliciosa no es un fenómeno nuevo en el derecho. Lo que es nuevo es que ahora tiene un canal institucional, un procedimiento obligatorio de gestión y una presunción de protección que el órgano gestor debe tratar con extrema cautela antes de cuestionar. Esa asimetría es exactamente el vector que el whistleblower hostil explota.

Por qué el órgano gestor es el actor más expuesto

El CCO o responsable del Sistema Interno de Información se encuentra en una posición estructuralmente incómoda: está obligado a gestionar todas las denuncias que entran, a proteger la confidencialidad del informante, a investigar con diligencia y a no tomar medidas que puedan interpretarse como represalia. Al mismo tiempo, si no desarrolla criterios de triage robustos, su capacidad operativa queda capturada por investigaciones sobre denuncias infundadas mientras el riesgo penal real opera fuera del foco.

Es la misma lógica adversarial que aplicamos al compliance en general: un sistema que no ha sido sometido a prueba no sabe si funciona. Y un canal de denuncias que no tiene filtros adversariales es un sistema que no ha sido sometido a prueba.

Tipologías de uso hostil del canal

El uso instrumental del canal de denuncias no responde a un único patrón. Identificar la tipología correcta es el primer paso para diseñar el triage adecuado.

Sabotaje competitivo intra-organizacional

El actor hostil utiliza el canal para paralizar a un competidor interno: un colega que aspira al mismo ascenso, un directivo cuya área compite por recursos presupuestarios, un responsable cuya gestión amenaza la posición del denunciante. La denuncia no necesita ser completamente falsa para ser instrumental: basta con que sea selectiva, exagerada o estratégicamente cronometrada para generar el máximo daño con el mínimo riesgo para quien la interpone.

El coste para la organización es doble: el directivo denunciado queda en situación de sospecha durante la investigación, y el órgano de cumplimiento consume recursos en una investigación cuya función real no es detectar una irregularidad sino neutralizar a un competidor.

Ataque reputacional dirigido

La denuncia se diseña para maximizar el daño reputacional del denunciado, independientemente de su resultado. En organizaciones donde la confidencialidad del proceso no está perfectamente blindada —y en la mayoría no lo está— la mera existencia de una denuncia activa se convierte en información que circula. El denunciante hostil cuenta con ello: el archivo posterior de la denuncia no restaura la reputación del denunciado con la misma velocidad con que la denuncia la dañó.

Denuncia-presión en contexto de cese o conflicto laboral

Este es el patrón más frecuente y el que mayor exposición jurídica genera para el órgano gestor. Un trabajador en proceso de desvinculación, sometido a un procedimiento disciplinario o inmerso en una negociación de extinción contractual interpone una denuncia en el canal interno. La temporalidad es la señal más evidente: la denuncia llega días antes de la firma del acuerdo o inmediatamente después de recibir una evaluación de desempeño negativa.

El objetivo no es necesariamente que la investigación prospere: es generar una situación en la que cualquier medida disciplinaria posterior pueda interpretarse como represalia por haber denunciado. La protección de la Ley 2/2023 se convierte así en un escudo frente a consecuencias laborales legítimas.

Denuncia-distracción como cobertura del infractor real

Esta es la modalidad más sofisticada y la de mayor impacto sobre la eficacia del sistema de compliance. El actor que está cometiendo o ha cometido una irregularidad real genera una denuncia infundada contra un tercero para desviar el foco de la investigación y consumir la capacidad operativa del órgano de cumplimiento. Mientras el equipo de compliance investiga una denuncia fabricada, el riesgo real opera sin supervisión.

Es el equivalente organizativo de lo que en criminología se denomina denuncia-distracción: no elimina el riesgo de detección, pero lo retrasa el tiempo suficiente para completar o cubrir la conducta ilícita. Como señalamos en el análisis sobre la evolución del control empresarial hacia modelos predictivos multidisciplinares, el fraude interno sofisticado no solo explota los puntos ciegos del sistema: a veces los crea activamente.

Triage adversarial sin vulnerar la protección legal

El diseño de un proceso de triage adversarial no está en tensión con la Ley 2/2023: está habilitado por ella. La ley obliga a investigar las denuncias admitidas, no a admitir todas las denuncias sin evaluación previa. La distinción entre evaluación de admisibilidad y evaluación de fondo es la bisagra técnica sobre la que descansa todo el modelo.

Qué permite y qué prohíbe la ley en el proceso de evaluación

 La Ley 2/2023 no exige que el órgano gestor inicie investigación formal ante cualquier comunicación que entre por el canal. Lo que exige es acusar recibo en un plazo de siete días, gestionar la denuncia con diligencia y comunicar el resultado al informante en un plazo máximo de tres meses. En el espacio entre la recepción y la apertura de investigación formal existe margen legal para una evaluación de admisibilidad que aplique criterios objetivos y documentados.

Lo que la ley prohíbe es adoptar medidas de represalia contra el informante por el hecho de haber denunciado, con independencia del resultado de la investigación. Esa prohibición no impide evaluar la admisibilidad: impide castigar el acto de denunciar. La distinción es crítica y frecuentemente mal entendida.

El modelo de triage documentado como escudo del órgano gestor

La documentación es la única protección real del CCO frente a la represalia inversa. Cada decisión de archivo o de inadmisión debe estar respaldada por criterios objetivos, aplicados de forma consistente y registrados con suficiente detalle para resistir una eventual revisión judicial o administrativa.

Un modelo de triage robusto incluye: criterios formales de admisibilidad explícitos en el protocolo del canal, registro del proceso de evaluación inicial separado del expediente de investigación, decisión motivada de admisión o inadmisión, y comunicación al informante del resultado con el fundamento aplicado. Este modelo no garantiza inmunidad frente a reclamaciones, pero desplaza significativamente la carga de la prueba hacia quien alegue represalia.

Indicadores conductuales y formales de mala fe

[Deducción basada en criminología corporativa] Ningún indicador aislado es determinante. Su valor analítico emerge de la combinación y del patrón que forman en el contexto específico de la denuncia.

Indicadores formales

Temporalidad: la denuncia se presenta en coincidencia inmediata con un conflicto laboral activo, un proceso disciplinario en curso, una negociación de extinción o una evaluación de desempeño negativa reciente. La proximidad temporal no prueba la mala fe, pero es la señal más consistente en la experiencia comparada.

Especificidad selectiva: la denuncia contiene detalles precisos sobre la conducta del denunciado pero carece de cualquier información sobre el contexto, la fuente o la forma en que el denunciante accedió a esa información. La asimetría entre la precisión del cargo y la vaguedad del origen es un indicador formal relevante.

Ausencia de nexo funcional: el denunciante no tiene relación funcional razonable con la materia denunciada ni con el área donde supuestamente ocurrió la irregularidad. El acceso a la información que describe exigiría una proximidad que no corresponde a su posición en la organización.

Patrón de uso reiterado: el mismo denunciante ha utilizado el canal en varias ocasiones, siempre en coincidencia con situaciones de conflicto personal o profesional activo.

Indicadores conductuales

Escalada inmediata: el denunciante omite cualquier cauce interno previo —conversación directa, comunicación a RRHH, consulta al compliance officer— y activa directamente el canal formal, maximizando la formalización del conflicto desde el primer momento.

Interés en la publicidad del proceso: el denunciante manifiesta, directa o indirectamente, interés en que la existencia de la denuncia sea conocida por personas ajenas al proceso, contradiciendo la lógica de un informante que busca resolver una irregularidad real.

Resistencia a la confidencialidad: solicita confirmar identidades de investigados o pide información sobre el estado del proceso con una frecuencia o un nivel de detalle que excede el legítimo interés del informante en conocer el resultado.

La identificación de estos indicadores requiere precisamente el tipo de análisis conductual aplicado a entornos organizativos que desarrollamos en detalle en el marco de la criminología estratégica aplicada al proceso penal y a la defensa jurídica.

Riesgo de represalia inversa contra el órgano gestor

El CCO que archiva o inadmite una denuncia se expone a que el denunciante alegue que esa decisión es en sí misma una represalia. Es el riesgo de represalia inversa: la protección legal del informante utilizada como herramienta de presión contra el órgano que ha ejercido legítimamente su función de triage.

La protección frente a este riesgo no es jurídica en primera instancia: es documental y procedimental. Un proceso de triage que aplica criterios objetivos, consistentes y registrados es extraordinariamente difícil de atacar como represalia, porque la represalia exige demostrar que la medida se adoptó por el hecho de haber denunciado y no por criterios objetivos de inadmisibilidad. Si esos criterios están documentados y han sido aplicados de forma consistente a otras denuncias, la alegación de represalia pierde su base fáctica.

Articulación con el régimen disciplinario y laboral

El artículo 23 de la Ley 2/2023 establece que las personas que hayan realizado comunicaciones a sabiendas de su falsedad podrán ser consideradas responsables de los daños y perjuicios causados, sin perjuicio de las sanciones disciplinarias o penales que pudieran corresponder.

Este precepto habilita la derivación al régimen disciplinario de las denuncias identificadas como maliciosas, pero exige un estándar probatorio claro: la falsedad conocida, no la mera imprecisión o el error de buena fe. La coordinación con la asesoría laboral es imprescindible en este punto para calibrar correctamente el umbral de activación del régimen disciplinario y minimizar el riesgo de que una medida disciplinaria legítima sea posteriormente reencuadrada como represalia.

Métricas de salud del canal

Un canal instrumentalizado tiene una firma estadística identificable si se recogen los datos correctos. Las métricas de salud del canal permiten detectar patrones de uso hostil antes de que se consoliden:

Indicadores de canal instrumentalizado: ratio elevado de denuncias inadmitidas o archivadas sin medidas, concentración de denuncias en períodos de conflicto organizativo activo, patrón de denuncias cruzadas entre partes en conflicto, tiempo medio de resolución creciente por acumulación de investigaciones sobre denuncias infundadas.

Indicadores de canal que funciona: ratio equilibrado entre denuncias admitidas e investigaciones con resultado, distribución temporal de denuncias sin correlación con ciclos de conflicto laboral, diversidad de áreas y tipologías denunciadas, confianza percibida por los usuarios del canal medida mediante encuestas internas.

Un canal con métricas deterioradas no es necesariamente un canal maliciosamente instrumentalizado: puede ser un canal mal diseñado, poco confiable o con un ámbito de aplicación mal definido. Pero las métricas son el primer instrumento de diagnóstico disponible antes de realizar una auditoría criminológica del sistema.

Caso hipotético de instrumentalización

Una empresa de servicios profesionales de tamaño medio implanta su Sistema Interno de Información en cumplimiento de la Ley 2/2023. Tres meses después de la puesta en marcha del canal, el director de operaciones —que lleva dieciocho meses en un conflicto no resuelto con el director financiero por la asignación de recursos— interpone una denuncia contra este último por supuesta manipulación de datos de facturación a clientes.

La denuncia contiene detalles precisos sobre tres operaciones concretas. No explica cómo el director de operaciones accedió a esa información, que corresponde a un área sobre la que no tiene responsabilidad funcional. La denuncia se recibe cuatro días después de que el consejo de administración haya resuelto el conflicto presupuestario a favor del área financiera.

El órgano de cumplimiento abre investigación formal. Durante seis semanas, el director financiero queda en situación de sospecha activa mientras el equipo de compliance verifica las operaciones señaladas. Todas resultan correctas. La denuncia se archiva.

Lo que el caso hipotético revela no es solo el coste de la investigación infundada: es que durante esas seis semanas, el órgano de cumplimiento ha estado focalizando su capacidad operativa en un área que no presentaba riesgo real, mientras otras áreas de la organización operaban sin supervisión efectiva. Un protocolo de triage adversarial con los indicadores formales descritos —temporalidad, ausencia de nexo funcional, especificidad selectiva— habría permitido identificar este patrón en la fase de admisibilidad y gestionar la denuncia con un nivel de recursos proporcionado a su perfil de riesgo real.

Qué puede hacer su organización

• Revise si el protocolo de su SII incluye una fase explícita de evaluación de admisibilidad con criterios documentados antes de abrir investigación formal. Si no la incluye, es el primer punto de mejora.
• Establezca indicadores de alerta temprana para denuncias con temporalidad sospechosa respecto a conflictos laborales o procesos de desvinculación activos en el momento de la recepción.
• Diseñe un modelo de decisión documentado para el archivo de denuncias que proteja al órgano gestor frente a eventuales alegaciones de represalia inversa.
• Coordine con asesoría laboral el protocolo de derivación al régimen disciplinario de denuncias identificadas como maliciosas conforme al art. 23 de la Ley 2/2023.
• Implante métricas de salud del canal y revíselas trimestralmente para detectar patrones de uso hostil antes de que se consoliden.
• Solicite una auditoría criminológica del SII para evaluar su vulnerabilidad a uso instrumental y la robustez de su protocolo de triage.

Si su organización no ha evaluado aún esta dimensión del canal, puede que necesite una perspectiva criminológica especializada que los asesores jurídicos convencionales no están en posición de aportar.

Glosario

Whistleblower hostil: persona que utiliza el canal interno de denuncias no para informar de buena fe sobre una infracción real, sino como instrumento de ataque, presión o distracción en beneficio propio o de terceros.

Sistema Interno de Información (SII): canal de comunicación obligatorio bajo la Ley 2/2023 a través del cual cualquier persona con relación con la organización puede informar sobre infracciones normativas de forma confidencial o anónima.

Triage adversarial: proceso estructurado de evaluación inicial de una denuncia que permite identificar indicadores de mala fe sin comprometer la confidencialidad del informante ni vulnerar la protección legal que le corresponde si actúa de buena fe.

Denuncia-distracción: modalidad de uso hostil del canal en la que el infractor real interpone una denuncia infundada contra terceros para desviar el foco de la investigación y consumir los recursos del órgano de cumplimiento.

Represalia inversa: riesgo al que se expone el órgano gestor del canal cuando archiva o desestima una denuncia y el denunciante responde alegando que esa decisión constituye en sí misma una represalia por haber denunciado.

Captura del recurso de cumplimiento: fenómeno por el cual el tiempo y la capacidad operativa del órgano de cumplimiento quedan absorbidos por investigaciones sobre denuncias infundadas, reduciendo su capacidad de detectar riesgo real.

Abuso de derecho: figura del artículo 7 del Código Civil español que permite exigir responsabilidad a quien ejerce un derecho de forma contraria a su función social o con intención de causar daño, aplicable a la denuncia maliciosa documentada como tal.

Preguntas frecuentes

¿Puede el órgano gestor archivar una denuncia sin investigarla? Sí, si la evaluación de admisibilidad concluye que la denuncia es manifiestamente infundada o abusiva, siempre que esa decisión esté documentada con criterios objetivos y no suponga represalia contra un informante de buena fe. La ley obliga a investigar las denuncias admitidas, no a admitir todas sin evaluación previa.

¿Qué dice la Ley 2/2023 sobre la denuncia de mala fe? El artículo 23 establece que quienes hayan realizado comunicaciones a sabiendas de su falsedad podrán ser responsables de los daños causados y podrán ser objeto de medidas disciplinarias o sanciones penales. La protección legal se condiciona expresamente a la buena fe del informante.

¿Puede el denunciante malicioso perder la protección legal? Sí. La protección de la Ley 2/2023 se condiciona a que el informante haya actuado de buena fe y con motivos razonables para creer que la información era veraz. La mala fe documentada excluye esa protección y habilita las acciones de responsabilidad previstas en el artículo 23.

¿Cómo se protege el CCO frente a una represalia inversa? Mediante documentación rigurosa del proceso de triage, criterios objetivos de decisión aplicados de forma consistente y separación formal entre la evaluación de admisibilidad y la evaluación de fondo de la denuncia. La consistencia en la aplicación de criterios es la mejor defensa frente a la alegación de represalia.

¿Es obligatorio investigar todas las denuncias que entran en el canal? La ley obliga a acusar recibo y a investigar las denuncias admitidas, pero el protocolo de admisibilidad permite filtrar las que sean manifiestamente abusivas o fuera del ámbito material del canal antes de abrir investigación formal.

¿Qué organizaciones son más vulnerables a la instrumentalización del canal? Las medianas empresas con canales recién implantados y sin protocolo de triage maduro son las más expuestas: tienen la obligación legal, la presunción de protección al informante y la inexperiencia operativa para detectar patrones de uso hostil antes de que consuman recursos significativos.

El canal de denuncias es tan fuerte como su protocolo de triage

La Ley 2/2023 ha creado una obligación que ninguna organización afectada puede ignorar. Lo que la ley no ha creado es el protocolo de triage que hace que esa obligación no se convierta en una vulnerabilidad. Ese protocolo no está en el texto legal: está en el diseño operativo del canal, en los criterios de admisibilidad, en la formación del órgano gestor y en la capacidad de identificar patrones de uso hostil antes de que capturen la capacidad de cumplimiento de la organización.

Un canal bien diseñado protege al informante de buena fe, detecta el uso instrumental antes de que genere daño y documenta sus decisiones de forma que resistan cualquier revisión posterior. Ese es el estándar que separa un SII robusto de uno que solo cumple formalmente con la norma.

En Forentia 360 auditamos y diseñamos Sistemas Internos de Información con criterios criminológicos aplicados: desde el protocolo de triage adversarial hasta las métricas de salud del canal y la coordinación con el régimen disciplinario y laboral.

Solicite una consulta inicial sin compromiso y evaluemos si su canal está preparado para lo que la ley no anticipó.

Contactar con Forentia 360 →

Lecturas relacionadas

• Pensar como quien defrauda: el método que los mejores sistemas de compliance ya aplican
• Prevención de fraudes internos mediante rediseño de procesos y espacios de trabajo
• Criminología estratégica en el nuevo proceso penal: una ventaja decisiva ante la nueva LECrim
• ¿Tu empresa necesita un criminólogo? La respuesta es sí, aunque no lo sepas

FUENTES

España. Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. BOE núm. 44, de 21 de febrero de 2023.

Unión Europea. Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. DOUE L 305, de 26 de noviembre de 2019.

España. Código Civil. Art. 7: prohibición del abuso de derecho. Real Decreto de 24 de julio de 1889.

Becker, G. S. (1968). Crime and punishment: An economic approach. Journal of Political Economy, 76(2), 169–217.

Association of Certified Fraud Examiners (ACFE). (2024). Report to the Nations: Global Study on Occupational Fraud and Abuse. ACFE.

Near, J. P., & Miceli, M. P. (1985). Organizational dissidence: The case of whistle-blowing. Journal of Business Ethics, 4(1), 1–16.

Dyck, A., Morse, A., & Zingales, L. (2010). Who blows the whistle on corporate fraud? The Journal of Finance, 65(6), 2213–2253.

Autoridad Independiente de Protección del Informante (AAI).