¿Qué son las amenazas internas?

Aunque las amenazas externas son más comunes y acaparan los titulares de ciberataques más importantes, las amenazas internas pueden ser más costosas y peligrosas. Según el informe "Cost of a Data Breach" de IBM, las vulneraciones de datos iniciadas por usuarios internos negligentes fueron las más costosas, con una media de 4,99 millones de dólares.

Un reciente informe de Verizon reveló que, aunque la media de amenazas externas externas pone en peligro alrededor de 200 millones de registros, los incidentes que implican a un actor interno han dado lugar a una exposición de 1 millones de registros o más.¹

No todas las amenazas internas son maliciosas. Un estudio del IBM Institute for Business Value reveló que el personal con buenas intenciones puede compartir datos privados de la organización en productos de terceros sin saber si las herramientas cumplen con sus necesidades de seguridad. El estudio también informa de que el 41 % de los empleados han adquirido, modificado o creado tecnología sin el conocimiento de su equipo de TI o de seguridad, lo que crea una importante apertura en materia de seguridad.

Los usuarios internos negligentes suelen ser empleados actuales descontentos, o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado, que hacen mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos usuarios internos negligentes colaboran con una amenaza externa, como un hacker, un competidor o un actor de un estado-nación para interrumpir las operaciones comerciales mediante la plantación de malware o la manipulación de archivos y aplicaciones. Otros se centran en filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos confidenciales para obtener un beneficio de sus cómplices externos.

Algunos ataques recientes de usuarios internos malintencionados:

• Al comienzo de la pandemia de COVID-19, un exempleado descontento de una empresa de embalaje médico utilizó una cuenta de administrador creada previamente para configurar una nueva cuenta de usuario falsa, luego alteró miles de archivos de una manera que retrasaría o detendría los envíos de equipo de protección personal a hospitales y proveedores de atención médica.
   

• En 2022, un empleado de X fue detenido por enviar información privada de usuarios de X a funcionarios del Reino de Arabia Saudí y a la familia real saudí a cambio de sobornos. Según el Departamento de Justicia de Estados Unidos, el empleado "...actuó en secreto como agente de un gobierno extranjero contra voces disidentes".

Los usuarios internos negligentes no tienen intenciones maliciosas, pero crean inadvertidamente amenazas de seguridad por ignorancia o descuido, como caer en un ataque de phishing o eludir los controles de seguridad para ahorrar tiempo. Sus acciones también pueden incluir la pérdida de un ordenador portátil que un ciberdelincuente podría utilizar para acceder a la red de la organización o el envío por correo electrónico por error de archivos confidenciales a personas ajenas a la organización.

Entre las empresas encuestadas en el Informe global sobre el coste de las amenazas internas de Ponemon de 2022, la mayoría de las amenazas internas, el 56 %, se debieron a usuarios internos maliciosos².

Los actores de amenazas externos roban las credenciales de los usuarios legítimos, convirtiéndolos en usuarios internos comprometidos. Las amenazas que se lanzan a través de información privilegiada comprometida son las amenazas internas más caras, ya que, según el informe Ponemon, su corrección cuesta a las víctimas una media de 804 997 dólares³.

A menudo, los usuarios internos comprometidos son el resultado de un comportamiento negligente por parte de los propios empleados. Por ejemplo, en 2021 un estafador utilizó una táctica de ingeniería social, concretamente una llamada telefónica de phishing por voz (vishing) para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma de negociación Robinson. En el ataque se robaron más de cinco millones de direcciones de correo electrónico de clientes y dos millones de nombres de clientes.

Las amenazas internas las llevan a cabo, parcial o totalmente, usuarios con credenciales completas, incluidos los usuarios privilegiados. Este enfoque hace que sea especialmente difícil distinguir los indicadores y comportamientos de usuario interno negligente de las acciones habituales de los usuarios. Según un estudio, los equipos de seguridad tardan una media de 85 días en detectar y contener una amenaza interna ⁴, pero algunas amenazas internas han pasado desapercibidas durante años.

Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.

La formación continua de todos los usuarios autorizados en políticas de seguridad, como la higiene de contraseñas, el manejo adecuado de datos confidenciales y la notificación de dispositivos perdidos, puede ayudar a reducir el riesgo de usuarios internos maliciosos. Además, la formación de conciencia sobre seguridad en temas como el reconocimiento de estafas de phishing y el enrutamiento correcto de solicitudes de acceso al sistema o datos confidenciales puede mitigar el impacto general de las amenazas. Por ejemplo, según el informe "Cost of a Data Breach", el coste medio de una vulneración de datos en las empresas con formación de los empleados fue 285,629 USD inferior al de las empresas sin formación.

La gestión de identidades y accesos (IAM) se centra en gestionar las identidades de los usuarios, la autenticación y los permisos de acceso, de forma que se garantice que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. La gestión de accesos privilegiados, una subdisciplina de la IAM, se centra en un control más preciso de los privilegios de acceso concedidos a usuarios, aplicaciones, cuentas administrativas y dispositivos.

Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento que se marcha o dar de baja inmediatamente las cuentas de los usuarios que han abandonado la empresa son ejemplos de acciones de gestión del ciclo de vida de las identidades que pueden reducir el riesgo de amenazas internas.

El análisis del comportamiento de los usuarios (UBA) aplica el análisis avanzado de datos y la inteligencia artificial (IA) para modelar los comportamientos básicos de los usuarios y detectar anomalías que puedan indicar anomalías que puedan indicar ciberamenazas emergentes o en curso, incluidas posibles amenazas internas. Una tecnología estrechamente relacionada, análisis del comportamiento de usuarios y entidades (UEBA), amplía estas capacidades para detectar comportamientos anómalos en sensores IoT y otros dispositivos de endpoint.

El UBA se utiliza frecuentemente junto con la gestión de eventos e información de seguridad (SIEM), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.

La seguridad ofensiva (u OffSec) utiliza tácticas adversarias, las mismas que utilizan los malos actores en los ataques del mundo real para reforzar la seguridad de la red en lugar de ponerla en peligro. Los hackers éticos, expertos en ciberseguridad expertos en técnicas de piratería, lideran la seguridad ofensiva identificando y resolviendo fallos en los sistemas de TI, riesgos de seguridad y vulnerabilidades en la forma en que los usuarios responden a los ciberataques.

Las medidas de seguridad ofensiva que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipos rojos, donde un equipo de hackers éticos lanza un ciberataque simulado y orientado a objetivos contra objetivos contra la organización.