Cuando el Enemigo está Dentro de las Filas: La Amenaza Interna en Ciberseguridad
Cuando pensamos en amenazas de ciberseguridad, a menudo imaginamos a una figura oscura, con capucha negra, admirando su imperio cibernético a través de una pared de pantallas repletas de datos. Incluso podríamos imaginar a un espía hackeando gobiernos extranjeros y pasando inteligencia a agentes en el terreno. Pero raramente nos imaginamos a nosotros mismos como esa amenaza. Sorprendentemente, somos uno de los mayores riesgos para una organización.
El Peligro Silencioso: La Amenaza Interna
Tómate unos minutos para reflexionar sobre lo que podrías hacer para causar el mayor daño a la empresa para la que trabajas. Podría parecerse a copiar datos de ventas y comenzar tu propio negocio, descargar malware intencionalmente en una computadora de trabajo, o robar propiedad intelectual y pasarla a un competidor.
No se trata de una teoría. Según el reporte de datos de Verizon sobre brechas de seguridad en 2024, los actores internos representan el 35% de todos los incidentes. Es importante notar que esto incluye ataques intencionales y no intencionales. No obstante, los datos solo cuentan parte de la historia — muchos ataques internos pasan completamente desapercibidos y están notoriamente subreportados.
Migas Digitales: Lo que Son y Cómo No Siempre Son lo que Parecen
A diferencia de un atacante típico, los insiders conocen los sistemas, el negocio, la industria y los datos de su organización a fondo. Un actor externo debe realizar reconocimiento, buscar puertos abiertos o probar vulnerabilidades, mientras que un insider probablemente ya conoce esta información. Los ataques externos crean “migas digitales”, es decir, pequeñas piezas de evidencia que un equipo de seguridad puede encontrar e investigar. Los insiders no necesariamente crean el mismo rastro.
Identificar la intención maliciosa también puede ser complicado. Aunque cada trabajo tiene roles y responsabilidades específicos, en algún momento casi todos los empleados tendrán que realizar tareas fuera de sus funciones regulares. Un acceso inesperado a informes financieros puede parecer sospechoso a primera vista, pero podrías darte cuenta de que es el cierre del trimestre. Un aluvión de correos electrónicos de una cuenta laboral a una cuenta personal puede gritar “¡Están enviando datos!”, hasta que ves que están respaldando algunas fotos durante su hora de almuerzo.
Incluso cuando hay migas digitales para que los investigadores encuentren, a menudo estas son tan probables de ser legítimas (o tal vez un uso indebido de los sistemas de TI por parte del empleado) en lugar de un ataque extremadamente dañino.
Diferenciando los Motivadores de los Actores de Amenazas Internos y Externos
Uno de los principales motivadores para los adversarios externos es el dinero. Según el reporte de Verizon sobre brechas de seguridad en 2024, fue el catalizador de más del 90% de los incidentes causados por un adversario externo. Para los insiders, es ligeramente menos importante pero sigue siendo alto en prioridades con un 88%.
Para los insiders, vemos un aumento marcado en la motivación por espionaje (46%). Esto suele manifestarse en la transferencia de propiedad intelectual o contactos de clientes a un competidor existente o usarlos para iniciar su propia empresa. Muchas veces esto está motivado por un rencor. Vimos esto en incidentes como:
– Un técnico de TI escolar que se vengó hackeando la institución y eliminando datos después de ser despedido.
– Un ex empleado que fue despedido por bajo rendimiento se vengó y terminó con una larga condena en prisión.
– Un ex administrador de redes en San Francisco que se negó a entregar cualquier contraseña de la empresa incluso después de ser sentenciado a prisión (eventualmente cedió cuando el alcalde se presentó en su celda).
Protegiendo tu Organización de las Amenazas Internas
Entonces, ¿cómo puedes proteger tu negocio de las amenazas internas?
Implementar Controles Técnicos Robustas
Implementar controles técnicos robustos es esencial, pero solo una parte de la solución. Herramientas como soluciones de prevención de pérdida de datos (DLP) pueden notificar a los equipos sobre aumentos significativos en las transferencias de datos, y simplemente bloquear el uso de unidades portátiles puede minimizar efectivamente las oportunidades de ataque. Vale la pena mencionar que estos controles a veces pueden tener el efecto contrario. Cuando los empleados perciben que están siendo vigilados intensamente, puede aumentar su descontento y alentarlos a adoptar prácticas menos seguras.
Gestión Humana y Procesos
A diferencia de otros tipos de ciberamenazas, las amenazas internas tienen un componente humano significativo, y esto se maneja mejor a través de personas y procesos, tales como:
– Establecer procedimientos exhaustivos de despido Asegurarse de revocar completamente el acceso de los empleados, auditar regularmente los permisos y garantizar que solo tengan acceso a los sistemas y archivos necesarios para sus roles.
– Proveer programas de asistencia a empleados Ofrecer ayuda a aquellos que enfrentan dificultades financieras o problemas de salud mental puede reducir la probabilidad de que actúen de manera perjudicial.
– Implementar procesos de revisión de empleados Identificar problemas de desempeño temprano y ofrecer oportunidades de mejora antes de considerar el despido puede ayudar a prevenir que aparezcan amenazas internas.
En última instancia, todos estos factores se basan en fomentar un ambiente de trabajo seguro y de apoyo. Con este tipo de cultura, las empresas pueden reducir el riesgo de que un empleado se convierta en una amenaza interna y asegurar que los problemas potenciales se identifiquen y aborden antes de que escalen a un ataque completo.
En conclusión, no debes subestimar la amenaza que pueden representar los actores internos. Implementar una combinación de controles técnicos robustos y una gestión humana eficaz puede ayudar a mitigar estos riesgos y proteger tu organización de peligros invisibles pero presentes.