La Paradoja del Chavo del Ocho: el daño que nadie planeó

En la criminología corporativa existe una categoría de daño que incomoda porque no encaja bien en ninguna narrativa simple: no es el fraude deliberado del empleado que planificó durante meses, ni el error inocente del trabajador bien intencionado. Es algo intermedio, más difuso y, por eso mismo, más difícil de gestionar.

Lo llamo la Paradoja del Chavo del Ocho, en honor a la frase más honesta que ese personaje pronunció: "fue sin querer queriendo." El daño ocurrió. Hubo una decisión. Pero la intención era ambigua, o directamente ausente.

Tres tipos de infractor, un solo resultado

En la práctica, cuando investigo un incidente de pérdida o fraude interno, encuentro que los actores se distribuyen en tres categorías que raramente se nombran con claridad.

El primero es el infractor deliberado: sabe lo que hace, evaluó las consecuencias y decidió actuar de todas formas. Este es el que los programas de seguridad están diseñados para detectar. También es el menos frecuente.

El segundo es el infractor por presión: no tenía intención inicial, pero las circunstancias —deuda, amenaza, necesidad urgente— lo empujaron a cruzar una línea que en condiciones normales no habría cruzado. El triángulo del fraude de Donald Cressey lo describe bien: presión, oportunidad y racionalización.

El tercero es el más problemático para los sistemas de control: el infractor por inercia. No planeó nada. No tiene una necesidad urgente. Simplemente encontró que el camino más fácil era también el camino incorrecto, y lo tomó sin detenerse a pensar en las consecuencias.

El infractor por inercia no es un criminal. Es un empleado normal en un entorno mal diseñado. Y eso lo hace mucho más común.

Cómo la inercia se convierte en vulnerabilidad

La inercia organizacional tiene una mecánica específica. Empieza con una excepción pequeña: alguien salta un paso del protocolo porque hay prisa. No pasa nada. La excepción se repite. Se normaliza. Se convierte en "la forma en que realmente hacemos las cosas aquí", en contraste con "la forma en que el manual dice que deberíamos hacerlas."

Este proceso tiene un nombre en la literatura de seguridad: normalización de la desviación. Diane Vaughan lo documentó en su análisis del desastre del Challenger: la NASA no ignoró las señales de riesgo de forma deliberada. Las fue normalizando gradualmente, hasta que lo que antes era inaceptable se volvió rutina.

En una empresa de logística, se ve así: el sello de seguridad que "siempre está roto" y nadie reporta. El registro de temperatura que "siempre se llena al final del día con los datos de memoria." El acceso al almacén que "todos saben que la clave es 1234 porque nadie la ha cambiado."

Por qué los programas de seguridad fallan ante este tipo de daño

La mayoría de los programas de seguridad corporativa están diseñados para detectar intención. Buscan anomalías en patrones de comportamiento, señales de alerta temprana, indicadores de fraude deliberado. Son herramientas útiles para el primer y segundo tipo de infractor.

Pero el infractor por inercia no genera señales de alerta. Su comportamiento es, por definición, normal dentro del entorno que la organización ha permitido que se desarrolle. No hay anomalía que detectar porque la desviación ya es la norma.

Para este tipo de daño, la herramienta correcta no es la detección. Es el diseño. Específicamente, el rediseño de los procesos para que el camino de menor resistencia sea también el camino correcto.

Qué hacer con esto

• ▸Mapea las excepciones que se han normalizado en tu operación — pregunta a los supervisores "¿qué pasos del protocolo nadie realmente sigue?"
• ▸Distingue entre incumplimiento deliberado e incumplimiento por inercia — requieren respuestas distintas.
• ▸Rediseña los procesos donde el atajo es más fácil que el protocolo.
• ▸Crea mecanismos de reporte que tengan menos fricción que el silencio.
• ▸Audita la brecha entre el procedimiento escrito y la práctica real — esa brecha es tu mapa de vulnerabilidades.