Con cada día que pasa, nos volvemos más dependientes de las aplicaciones y dispositivos para gestionar nuestras vidas, tanto dentro como fuera del trabajo.
Debido a esto, los datos están en todas partes, y hay muchas brechas por las que pueden filtrarse, y cualquiera puede hacer un mal uso de ellos. Estamos condicionados a pensar que las filtraciones de datos provienen de extraños que hackean nuestros sistemas, pero no siempre es así.
A veces, los ataques cibernéticos más maliciosos a nuestros datos provienen del interior en forma de una amenaza interna. Las empresas utilizan herramientas como el software de gestión de información y eventos de seguridad (SIEM) para monitorear la actividad de los usuarios y herramientas de autenticación multifactor para fortalecer la seguridad de las cuentas y prevenir ataques internos.
¿Qué es una amenaza interna?
Una amenaza interna es una violación de seguridad que se origina dentro de una organización, como a través de empleados que tienen información interna sobre prácticas de seguridad, datos y sistemas informáticos.
Este tipo de ataque no tiene que ser necesariamente un empleado o accionista actual. Puede provenir de un ex empleado, miembro de la junta o cualquier persona que haya tenido acceso a información confidencial y privada de una organización.
Las amenazas internas ocurren cuando alguien cercano a una organización tiene acceso autorizado y lo utiliza indebidamente para impactar negativamente información o sistemas críticos.
98%
de las organizaciones se sienten vulnerables a los ataques internos.
Fuente: Cybersecurity Insiders
Tipos de amenazas internas
Hay tres tipos principales a tener en cuenta cuando se trata de amenazas internas.
Maliciosa
Una amenaza interna maliciosa proviene de alguien que intenta deliberadamente sabotear una organización. Los objetivos suelen ser espionaje, fraude y robo de propiedad intelectual.
Un ejemplo de esto sería un empleado descontento con la intención de robar información después de renunciar o ser despedido. También hay un tipo de amenaza interna llamada Bomba Lógica. Ocurre cuando ex empleados instalan software malicioso en los sistemas informáticos.
Inadvertida
Una amenaza interna inadvertida proviene de un error humano o un mal juicio. Esto incluye desde abrir un correo electrónico de phishing, activar malware, participar en TI en la sombra y ayudar involuntariamente al actor de la amenaza.
En 2020, un estudio realizado por Verizon encontró que el 2% de los empleados objetivo en una campaña de phishing hacen clic en enlaces maliciosos.
Topo
Un topo es un externo que tiene acceso a la red de una organización. Puede ser cualquier persona externa a la organización que se haga pasar por un empleado, contratista o socio.
Algunas empresas utilizan la autenticación multifactor para restringir a los topos hasta cierto punto protegiendo las cuentas de usuario.
¿Quieres aprender más sobre Software de Inteligencia de Amenazas? Explora los productos de Inteligencia de Amenazas.
Cómo detectar amenazas internas
Las amenazas internas son más difíciles de identificar y bloquear que otros ataques. Incluso si estás utilizando software de Gestión de Información y Eventos de Seguridad (SIEM), un ex empleado que use su inicio de sesión para hackear tu sistema no levantará las mismas alarmas que un hacker de alto nivel tomando el control de tu red.
La mejor manera de detener las amenazas internas es monitorear continuamente toda la actividad de los usuarios y tomar medidas cuando ocurran incidentes. Puedes implementar software de inteligencia de amenazas que utiliza herramientas y métodos de última generación para identificar amenazas cibernéticas.
¿Cuáles son algunos indicadores potenciales de amenazas internas?
Es esencial estar al tanto de las señales de advertencia de una posible amenaza interna.
- Robo y corrupción: Observa si la actividad de los usuarios de tus empleados se desvía de la norma. Tal vez hayan accedido a una cuenta por primera vez en un tiempo o desde una nueva ubicación.
- Errores dañinos: Esto ocurre cuando tus empleados actúan de manera descuidada. Implica desde usuarios que abren cuentas personales en servidores empresariales, comparten credenciales para una VPN y revisan correos electrónicos utilizando un proveedor de terceros.
- Nuevas aperturas para externos: Estas son señales de que un cibercriminal ya ha infiltrado una organización. Presta atención a un aumento en el número de transferencias de datos, una cantidad de inicios de sesión mayor de lo esperado, intentos de cambiar privilegios y credenciales en una cuenta existente, o abrir muchas cuentas nuevas.
Cómo prevenir amenazas internas
Las organizaciones pueden establecer políticas y procedimientos para mitigar las amenazas internas y controlar los daños si ocurre un incidente desafortunado. A continuación se presentan algunas mejores prácticas para ayudarte a protegerte de las amenazas internas.
Documenta y aplica políticas y controles
Crea políticas sobre cómo los empleados interactúan con el entorno de TI de una organización y aplícalas.
A continuación se presentan algunas políticas estándar que las empresas deben establecer.
- Regulaciones de protección de datos
- Política de acceso de terceros
- Política de gestión de contraseñas
- Política de monitoreo de usuarios
- Política de gestión de cuentas
- Política de respuesta a incidentes
Asegúrate de que tu departamento legal verifique estas políticas y que el departamento de éxito del empleado o de TI las comunique efectivamente a todos en la organización.
Realiza una evaluación de riesgos a nivel organizacional
Una evaluación de riesgos a nivel organizacional te ayudará a identificar activos críticos, vulnerabilidades y riesgos asociados. Puedes priorizar medidas de mitigación y fortalecer tu infraestructura de TI contra cualquier ataque cibernético o amenaza interna según la naturaleza de los riesgos.
Puedes utilizar software de gestión de riesgos de TI para proteger los datos empresariales contra todos los riesgos asociados con el software y el hardware.
Implementa prácticas estrictas de gestión de cuentas y acceso
Los usuarios deben ser desafiados a probar sus identidades no solo ingresando contraseñas, sino a través de varias otras formas. Puedes adoptar software de autenticación multifactor para establecer más desafíos. Estos software requerirían que los usuarios se autentiquen a través de múltiples mecanismos, como autenticación biométrica o ingresando contraseñas de un solo uso (OTP) para probar su identidad.
Encuentra actores de riesgo y responde rápidamente a actividades sospechosas
Mantén una vigilancia cercana sobre los sistemas de seguridad y responde a cualquier actividad sospechosa de acuerdo con tu plan de respuesta a incidentes. Es esencial monitorear y controlar el acceso remoto a los sistemas y asegurarse de recibir alertas a través de múltiples canales siempre que se detecte cualquier actividad sospechosa.
Considera usar software de análisis de comportamiento de usuarios y entidades (UEBA) para identificar patrones, monitorear comportamientos de usuarios o máquinas y notificar a los interesados en caso de cualquier actividad anormal.
Ejemplos de amenazas internas en la vida real
Para todos los entusiastas del crimen real, veamos algunos ejemplos de amenazas internas y las empresas que pagaron el precio.
General Electric: empleado roba datos valiosos y secretos comerciales
En julio de 2020, surgieron detalles de un trabajo interno de ocho años en General Electric (GE). La estafa vio al empleado Jean Patrice Delia robar datos valiosos y secretos comerciales para usar esta información para iniciar una empresa rival.
Después de obtener acceso a los archivos que había solicitado a un administrador de TI, Delia envió por correo electrónico cálculos comercialmente sensibles a su cómplice. Después de declararse culpable de los cargos, Delia enfrentó hasta 87 meses de cárcel.
Cisco: ex empleado sabotea datos de usuarios
Sudhish Kasaba Ramesh de San José, California, recibió dos años de prisión por desplegar malware que eliminó más de 16,000 cuentas de usuario en los sistemas de Cisco y causó daños por $2.4 millones. El incidente subraya la necesidad de asegurar los datos de amenazas internas y externas.
Sirve como recordatorio de que no solo tus empleados actuales representan una amenaza interna potencial, sino también tus ex empleados.
Anthem: infiltración de datos de empleados
Entre 2014-2015, Anthem experimentó una violación de datos en forma de robo interno donde los atacantes robaron los datos personales de más de 18,000 miembros de Medicare. No fue hasta abril de 2017, casi tres años después, que el proveedor de servicios de coordinación de seguros de Medicare.
El empleador detrás de esta amenaza interna había enviado por correo electrónico un archivo que contenía números de identificación de Medicare, números de Seguro Social, números de identificación de planes de salud, nombres de miembros y más a su dirección de correo electrónico.
39%
de las violaciones de datos de salud en 2020 fueron causadas por amenazas internas.
Fuente: Verizon
Target: amenaza de credenciales de terceros
En 2013, Target pasó por una violación de datos de tarjetas de crédito muy publicitada debido a un proveedor externo que tomó las credenciales de sistemas críticos fuera de un caso de uso apropiado. Esta información hizo posible que los hackers infiltraran los sistemas de pago de Target, accedieran a la base de datos de clientes e instalaran malware.
Al hacerlo, les permitió robar información de los clientes de Target, incluidos nombres, números de teléfono, direcciones de correo electrónico y detalles de tarjetas de pago.
RSA: empleados caen en un ataque de phishing
En marzo de 2011, el RSA fue víctima de una amenaza interna cuando los empleados hicieron clic en un ataque de phishing dirigido, lo que llevó a que 40 millones de registros de empleados se vieran comprometidos.
Los dos grupos de hackers detrás de este ataque lanzaron la estafa de phishing haciéndose pasar por compañeros de trabajo y contactos de confianza dentro de la organización. El RSA es el brazo de seguridad de EMC, y este ataque mostró que nadie, ni siquiera un proveedor de seguridad, está a salvo de una violación de datos interna.
Rockwell y Boeing: emplearon a un espía
¿Piensas que los espías son solo para dramas televisivos y películas de Hollywood? Piénsalo de nuevo.
Los espías vienen en todas las formas y tamaños; en este caso, vienen en forma de Greg Chung, quien espió para China mientras Rockwell y Boeing lo empleaban. Entre 1979 y 2006, Chung robó cientos de cajas de documentos sobre planes para expediciones militares y espaciales de EE. UU.
Esta amenaza interna patrocinada por un estado-nación es una de las formas en que otros países pueden acceder a secretos valiosos y altamente clasificados y propiedad intelectual.
Protégete desde adentro hacia afuera
Con las amenazas internas representando un riesgo financiero tan tremendo, es más importante que nunca hacer uso de la capacitación en concienciación y poder detectar las señales de una amenaza interna antes de que ocurra. Nunca dejes de monitorear la actividad de los usuarios, ya que la causa raíz de todas las amenazas internas a tus sistemas son las personas que los utilizan.
¿Interesado en aprender más sobre las amenazas que existen? Descubre cómo identificar los diferentes tipos de spyware.
Mara Calvello
Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.
