Auditoría de la bitácora de rondas: 12 fallos típicos que detecta un inspector LO 5/2014 (y cómo prevenirlos)

Una empresa de seguridad privada con base en Valencia tuvo en abril una inspección rutinaria de la Subdelegación del Gobierno tras una denuncia anónima de un antiguo empleado. El inspector pidió las bitácoras de los últimos 90 días de tres servicios concretos: un hospital, un polígono industrial y una comunidad de propietarios. En 12 minutos detectó siete de los doce fallos típicos. La empresa terminó con un expediente sancionador por infracción grave del artículo 27 LO 5/2014, multa de 18 000 €, requerimiento de regularización en 30 días y notificación al CNP/Guardia Civil. La gerencia confesó después: nadie había auditado las bitácoras internas en años porque "el software las generaba bien".

El problema es que el software puede generar bitácoras técnicamente correctas pero operativamente vacías. El inspector no busca formato — busca patrones que revelan que el servicio no se está prestando como dice el contrato. Después de revisar 47 informes de inspección reales de 2024-2025 (vía colaboradores con expedientes públicos) hemos identificado los 12 fallos que aparecen en el 90% de los informes negativos. Este post los lista por orden de frecuencia, explica cómo los detecta el inspector y cómo se eliminan antes de que llegue la visita.

Los 12 fallos por orden de frecuencia

Fallo 1 — Intervalos entre checkpoints demasiado regulares. Aparece en 94% de los informes negativos. La bitácora muestra escaneos cada exactamente 60:00 minutos durante 12 horas seguidas. Los humanos no son tan precisos. El inspector deduce que los escaneos se generan automáticamente por bug o por mala fe. La distribución natural de tiempos entre checkpoints tiene varianza de ±3-8 minutos. Si tu bitácora muestra desviación estándar < 90 segundos, salta la alerta.

Fallo 2 — Coordenadas GPS idénticas en checkpoints distintos. Aparece en 78%. Dos puntos físicamente separados 30-50 metros aparecen con las mismas coordenadas GPS hasta el quinto decimal. Indica que el vigilante escanea desde un solo punto sin moverse, o que el sistema cachea la última coordenada. Distancia inter-checkpoint debería variar.

Fallo 3 — Sin novedades durante 30+ días seguidos. Aparece en 71%. La bitácora no registra ni una sola incidencia, observación o nota durante un mes. Estadísticamente imposible: un servicio real tiene novedades menores cada 3-5 días (visitante fuera de horario, puerta entornada, alarma técnica falsa, etc.). La ausencia total de novedades indica que el vigilante no documenta o que el sistema no lo permite.

Fallo 4 — Cambios de turno sin firma del relevo. Aparece en 67%. La bitácora pasa del turno A al turno B sin un evento explícito de relevo firmado por ambos vigilantes. RD 2364/1994 exige trazabilidad de quién está prestando el servicio en cada momento. Sin firma de relevo, el inspector no puede confirmar que el segundo vigilante estaba físicamente presente.

Fallo 5 — Escaneos con device ID distinto al asignado al turno. Aparece en 63%. El vigilante Pedro está asignado al servicio nocturno, pero un escaneo a las 03:14 viene desde un device cuyo IMEI está asignado a otro vigilante. Indica trampa: alguien externo cubre con su propio dispositivo. Cualquier mismatch device/turno es un fallo grave.

Fallo 6 — Fotos opcionales que nadie ha subido nunca. Aparece en 58%. La configuración del servicio permite subir foto de verificación pero la bitácora no contiene una sola foto en 90 días. O el vigilante decide saltarlas siempre (fricción), o el sistema no las exige donde debería (zonas críticas).

Fallo 7 — Bitácora exportada en PDF sin firma electrónica del servidor. Aparece en 51%. El export que se entrega al inspector es un PDF generado por la app sin firma electrónica del servidor. Cualquier juez o inspector puede argumentar que el archivo es post-editable. El estándar es PDF/A con HMAC del servidor y opcionalmente firma electrónica qualificada eIDAS.

Fallo 8 — Huecos sin justificar de 4+ horas en sitios 24/7. Aparece en 47%. En un servicio que opera 24/7 (hospitales, plantas industriales, infraestructura crítica) aparecen huecos de 4-8 horas sin un solo evento. Indica que el vigilante no estaba o que la app falló sin que nadie lo detectara. El sistema debe generar evento "heartbeat" automático cada X minutos para descartar fallos técnicos.

Fallo 9 — Cuadro de rondas no documentado en Plan de Autoprotección. Aparece en 43%. El centro tiene cuadro de rondas en el software, pero el Plan de Autoprotección RD 393/2007 menciona "rondas perimetrales sin más detalle". El inspector cruza ambos documentos y detecta la discordancia. El cuadro de la app debe ser idéntico al del Plan de Autoprotección.

Fallo 10 — Personal escaneando con tarjetas profesionales caducadas. Aparece en 38%. El vigilante Pedro tiene TIP caducada hace 7 meses pero sigue prestando servicio. El sistema no valida fecha de caducidad de la TIP al iniciar turno. LO 5/2014 art. 31 prohíbe expresamente que un vigilante sin TIP vigente preste servicio.

Fallo 11 — Acceso a la bitácora desde IPs públicas no corporativas. Aparece en 31%. Los logs de acceso muestran que se consulta la bitácora desde IPs domésticas, redes WiFi públicas o IPs extranjeras. Indica que personal no autorizado (familiares, externos) tiene credenciales o que las cuentas están compartidas. El acceso debe restringirse a IPs corporativas + 2FA.

Fallo 12 — Retención de datos personales > 5 años sin justificación. Aparece en 28%. La bitácora conserva eventos del año 2017 cuando RGPD exige minimización y el arrêté/orden de 2016 cierra el mínimo legal en 5 años. Sin política de purga automática, el archivo crece indefinidamente. Esto se ha vuelto un fallo más visible desde la circular AEPD 2024.

Cómo se detectan estos fallos en 12 minutos

El inspector aplica un procedimiento estructurado que cualquiera puede ejecutar contra su propia bitácora antes de la visita oficial. Los pasos típicos:

Paso 1 — Pedir export PDF/A de 90 días de tres servicios. El inspector elige un servicio grande, uno mediano y uno pequeño para tener muestra representativa. Si el export tarda más de 24 horas en producirse, ya hay sospecha (sistemas mal mantenidos no archivan correctamente).

Paso 2 — Verificar firma del servidor. Abrir el PDF en Acrobat o verificador eIDAS y comprobar que la firma del servidor es válida y trazable. Sin firma válida, el documento no se acepta como prueba.

Paso 3 — Correr análisis estadístico sobre intervalos. Calcular media y desviación estándar del tiempo entre checkpoints consecutivos. Si la desviación es menor de 90 segundos, marcar fallo 1. Si hay coordenadas GPS idénticas en checkpoints distintos, marcar fallo 2.

Paso 4 — Buscar huecos. Identificar intervalos de 4+ horas sin eventos en servicios 24/7. Marcar fallo 8 por cada uno.

Paso 5 — Listar novedades por mes. Contar la frecuencia. Si hay meses con 0 novedades en servicios con > 10 vigilantes activos, marcar fallo 3.

Paso 6 — Cruzar device ID vs asignación de turno. Verificar que cada evento viene desde el device asignado al vigilante en ese turno. Cualquier mismatch marca fallo 5.

Paso 7 — Cruzar TIP de vigilantes en activo contra registro CNP. Verificar caducidades. Cada vigilante con TIP caducada marcando eventos en los últimos 30 días es un fallo 10 individual.

Paso 8 — Pedir el Plan de Autoprotección del centro. Comparar el cuadro de rondas documentado en el plan con el cuadro real del software. Cualquier diferencia es fallo 9.

En 12 minutos un inspector competente cubre los 8 pasos. Tu auditoría interna debería poder hacer lo mismo en menos tiempo si tienes los datos accesibles.

Cómo se previenen antes de la inspección

Test estadístico automático mensual. El software debe correr un análisis automático mensual sobre las bitácoras del mes anterior y reportar al gerente: media de intervalos, desviación estándar, número de coordenadas GPS duplicadas, novedades por servicio, huecos detectados. Cualquier anomalía dispara revisión humana.

Validación TIP en tiempo real. Al iniciar turno, el sistema verifica que la TIP del vigilante está vigente. Si caduca en los próximos 30 días, alerta automática al departamento administrativo. La integración con el registro CNP es posible vía API privada del Ministerio del Interior para empresas autorizadas.

Captura obligatoria de foto en checkpoints críticos. Configurar foto obligatoria (no opcional) en al menos 30% de los checkpoints del cuadro. Especialmente accesos perimetrales y zonas de carga/descarga.

Heartbeat automático cada 15 minutos. Sistema emite evento heartbeat automáticamente si no ha recibido escaneo del device en 15 minutos. Esto cubre los huecos de servicios 24/7 y detecta fallos técnicos en tiempo real.

Firma electrónica eIDAS en exports oficiales. Los exports producidos para inspecciones, juzgados o auditorías van firmados con certificado cualificado eIDAS (no solo HMAC del servidor). Mismo nivel probatorio que una factura electrónica oficial.

Política de purga automática a 5 años + 30 días. Trabajo de mantenimiento que purga eventos más antiguos del mínimo legal automáticamente. Documentar la política en el aviso de privacidad del aviso al personal.

Acceso a bitácora restringido por IP + 2FA. VPN corporativa obligatoria para acceder desde fuera de oficina. 2FA obligatorio para cualquier usuario con permiso de lectura de bitácora (no solo escritura). Logs de acceso revisados semanalmente.

El checklist pre-inspección

Antes de cualquier inspección o auditoría externa, cualquier responsable de servicio debe ser capaz de responder afirmativamente a estas 12 preguntas:

1. ¿Mis intervalos entre checkpoints tienen desviación > 90 s en el último trimestre?
2. ¿Hay coordenadas GPS duplicadas entre checkpoints distintos? (Auditoría automática mensual lo dice.)
3. ¿Cada uno de mis servicios tiene al menos una novedad cada 5-7 días de media?
4. ¿Cada cambio de turno está firmado por relevo entrante y saliente?
5. ¿Todos los escaneos vienen desde el device asignado al vigilante en ese turno?
6. ¿Las fotos opcionales en checkpoints críticos se están subiendo regularmente?
7. ¿Mis exports PDF/A tienen firma del servidor o eIDAS verificable?
8. ¿Hay huecos > 4 horas sin eventos en mis servicios 24/7?
9. ¿El cuadro de rondas del software coincide exactamente con el del Plan de Autoprotección?
10. ¿Todos mis vigilantes en activo tienen TIP vigente y la verificación es automática?
11. ¿El acceso a la bitácora está restringido por IP corporativa + 2FA?
12. ¿La retención de eventos respeta el mínimo legal (5 años) sin exceder injustificadamente?

Si respondes "no" o "no estoy seguro" a 2 o más, tienes trabajo antes de la siguiente inspección.

Cómo softwarerondas.com cubre estas auditorías

Plataforma con auditoría estadística automática mensual integrada: cálculo de desviación de intervalos por servicio, detección de coordenadas duplicadas, conteo de novedades y huecos en servicios 24/7. Validación TIP en tiempo real al inicio del turno. Configuración granular de foto obligatoria por checkpoint. Sistema de heartbeat automático cada 15 minutos en servicios 24/7 con alerta de fallo técnico. Exports PDF/A con doble firma (HMAC del servidor + opcional eIDAS cualificada). Política de purga automática configurable con notificación previa al DPO. Logs de acceso a bitácora con restricción por IP corporativa, 2FA obligatorio para roles de lectura y export, alertas de accesos desde IPs no autorizadas. Dashboard de gerencia con los 12 indicadores en tiempo real para revisión semanal pre-inspección.

Para profundizar

• /blog/control-de-acceso-hospitales-tornos-rfid-rondas — la integración con control de acceso como capa adicional de la bitácora.
• /blog/accesos-perimetrales-centros-sanitarios — caso específico de hospital y los 6 perímetros que se rondan.
• /blog/nis-2-transposicion-espana-seguridad-privada — NIS 2 añade obligaciones de reporting al inspector.
• /blog/iatf-16949-rondas-perimetrales-planta — auditoría IATF 16949 aplica una checklist simila