Las amenazas internas son amenazas de ciberseguridad que tienen su origen en usuarios autorizados: empleados, contratistas, socios comerciales, etc., que, de forma intencionada o accidental, hacen un uso indebido de su acceso legítimo, o cuyas cuentas son secuestradas por ciberdelincuentes.
Si bien las amenazas externas son más comunes y acaparan los titulares de los ciberataques más importantes, las amenazas internas, ya sean malintencionadas o el resultado de una negligencia, pueden ser más costosas y peligrosas. Según el Informe sobre el coste de una violación de datos de 2023 de IBM, las filtraciones de datos iniciadas por personas con información privilegiada malintencionada fueron las más costosas: 4,90 millones de dólares en promedio, un 9,5% más que el coste medio de una violación de datos de 4,45 millones de dólares. Y un reciente informe de Verizon reveló que, aunque la media de amenazas externas pone en peligro alrededor de 200 millones de registros, los incidentes que implican a un actor interno han dado lugar a una exposición de 1 millones de registros o más.1
Vea cómo IBM Security® QRadar® SIEM identifica e investiga el comportamiento anómalo.
Los intrusos malintencionados suelen ser empleados actuales descontentos, o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado, que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos intrusos malintencionados "trabajan" para un intruso malintencionado, como un pirata informático, un competidor o un agente de un Estado-nación, para perturbar las operaciones de la empresa (instalando malware o manipulando archivos o aplicaciones) o para filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.
Algunos ataques recientes de usuarios internos malintencionados:
Al comienzo de la pandemia de COVID-19, un exempleado descontento de una empresa de embalaje médico utilizó una cuenta de administrador creada anteriormente para crear una nueva cuenta de usuario falsa y, a continuación, alteró miles de archivos de forma que se retrasaran o detuvieran los envíos de equipos de protección personal a hospitales y proveedores de atención sanitaria (enlace externo).
En 2022, un empleado de Twitter fue arrestado por enviar la información privada de los usuarios de Twitter a funcionarios del Reino de Arabia Saudí y a la familia real saudí a cambio de sobornos (enlace externo). Según el Departamento de Justicia de Estados Unidos, el empleado "...actuó en secreto como agente de un gobierno extranjero persiguiendo voces disidentes".
Las personas internas negligentes no tienen intenciones malintencionadas, sino que crean amenazas a la seguridad por ignorancia o descuido, por ejemplo, al caer en un ataque de phishing, saltarse los controles de seguridad para ahorrar tiempo, perder un portátil que un ciberdelincuente puede utilizar para acceder a la red de la organización o enviar por correo electrónico archivos incorrectos (por ejemplo, archivos que contienen información confidencial) a personas ajenas a la organización.
Entre las empresas encuestadas en el informe mundial Ponemon sobre el coste de las amenazas internas de 2022, la mayoría de las amenazas internas (el 56 por ciento) se debieron a descuidos o negligencias por parte de personas con acceso a información privilegiada.2
Las personas internas comprometidas son usuarios legítimos cuyas credenciales han sido robadas por agentes externos.Las amenazas lanzadas a través de personas internas comprometida son las que salen más caras, ya que, según el informe Ponemon, su reparación cuesta a las víctimas una media de 804 997 dólares.3
A menudo, una persona se convierte en persona interna comprometida como resultado de un comportamiento negligente por su parte. Por ejemplo, en 2021 un estafador utilizó una táctica de ingeniería social, concretamente una llamada telefónica de phishing por voz (vishing) para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma de negociación Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque (enlace externo).
Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas, y a veces por usuarios privilegiados, puede ser especialmente difícil separar los indicadores o el comportamiento de las amenazas internas por descuido o mala intención de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan una media de 85 días en detectar y contener una amenaza interna4, pero algunas amenazas internas pasan años sin detectarse (enlace externo).
Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.
La formación continua de todos los usuarios autorizados en materia de política de seguridad (por ejemplo, higiene de contraseñas, manejo adecuado de datos confidenciales, notificación de dispositivos perdidos) y concienciación sobre la seguridad (por ejemplo, cómo reconocer una estafa de phishing, cómo dirigir correctamente las solicitudes de acceso al sistema o a datos confidenciales) puede ayudar a reducir el riesgo de amenazas internas por negligencia. La formación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe sobre el coste de una violación de datos de 2023, el coste medio de una violación de datos en las empresas con formación de sus empleados fue 232 867 USD menos (un 5,2 por ciento menos) que el coste medio general de una violación de datos.
La gestión de identidad y acceso (IAM, por sus siglas en inglés) se centra en gestionar las identidades de los usuarios, la autenticación y los permisos de acceso, de forma que se garantice que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. (La gestión de accesos privilegiados, una subdisciplina de la IAM, se centra en un control más detallado de los privilegios de acceso concedidos a usuarios, aplicaciones, cuentas administrativas y dispositivos).
Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento que se marcha o dar de baja inmediatamente las cuentas de los usuarios que han abandonado la empresa son ejemplos de acciones de gestión del ciclo de vida de las identidades que pueden reducir el riesgo de amenazas internas.
El análisis del comportamiento de los usuarios (UBA, por sus siglas en inglés) aplica el análisis avanzado de datos y la inteligencia artificial (IA) ara modelar los comportamientos básicos de los usuarios y detectar anomalías que puedan indicar ciberamenazas emergentes o en curso, incluidas posibles amenazas internas. (Una tecnología estrechamente relacionada, análisis de comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés), amplía estas capacidades para detectar comportamientos anómalos en sensores IoT y otros dispositivos de punto final).
El UBA se utiliza frecuentemente junto con la gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.
La seguridad ofensiva (o OffSec) utiliza tácticas de adversario (las mismas tácticas que utilizan los atacantes malintencionados en los ataques del mundo real) para reforzar la seguridad de la red en lugar de ponerla en peligro. La seguridad ofensiva suele correr a cargo de hackers éticos, profesionales de la ciberseguridad que utilizan sus conocimientos de piratería informática para detectar y corregir no solo los fallos de los sistemas informáticos, sino también los riesgos para la seguridad y las vulnerabilidades en la forma en que los usuarios responden a los ataques.
Las medidas de seguridad ofensiva que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipos rojos, donde un equipo de hackers éticos lanza un ciberataque simulado y orientado a objetivos contra la organización.
Las amenazas internas pueden ser difíciles de detectar, la mayoría de los casos pasan desapercibidos durante meses o años. Proteja a su organización de las amenazas malintencionadas o involuntarias de personas con acceso a su red.
Proporcione a los analistas de seguridad las herramientas que necesitan para mejorar significativamente las tasas de detección y acelerar el tiempo para detectar e investigar amenazas. Los datos de eventos normalizados de QRadar SIEM permiten a los analistas utilizar consultas sencillas para encontrar la actividad de ataque asociada a través de fuentes de datos dispares.
Proteja los activos críticos y gestione todo el ciclo de vida de las amenazas con un enfoque inteligente y unificado de la gestión de amenazas que le ayuda a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.
Conozca las amenazas para acabar con ellas: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.
La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ciberataques, detectar ciberamenazas y responder a incidentes de seguridad
Lea las últimas tendencias y técnicas de prevención de amenazas internas en Security Intelligence, el blog de liderazgo intelectual alojado por IBM Security.
Notas a pie de página
1 Informe de investigaciones de violación de datos de Verizon 2023 (enlace externo)
2, 3, 4 2022 Informe global sobre el coste del ponemon de las amenazas internas (para Proofpoint; enlace externo)