¿Qué son las amenazas internas?

Si bien las amenazas externas son más comunes y acaparan los titulares de ciberataques más importantes, las amenazas de usuarios internos pueden ser más costosas y peligrosas. Según el Informe del costo de una filtración de datos de IBM, las filtraciones de datos iniciadas por usuarios internos maliciosos fueron las más costosas, con un promedio de 4.99 millones de dólares.

Un informe reciente de Verizon reveló que, aunque pone en riesgo alrededor de 200 millones de registros, los incidentes que involucran a un actor de amenazas han resultado en la exposición de mil millones de registros o más.¹

No todas las amenazas internas son maliciosas. Un estudio del IBM Institute for Business Value reveló que personal bien intencionado puede compartir datos privados de la organización con productos de terceros sin saber si las herramientas satisfacen sus requisitos de seguridad. El estudio también informa que el 41 % de los empleados adquirieron, modificaron o crearon tecnología sin el conocimiento de su equipo de TI o de seguridad, causando así una grave falla de seguridad.

Los usuarios internos maliciosos son empleados actuales descontentos (o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado) que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas.Algunos usuarios internos maliciosos colaboran con una amenaza externa, como un hacker, un competidor o un actor de un estado nación para interrumpir las operaciones comerciales plantando malware o manipulando archivos y aplicaciones. Otros se centran en filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos confidenciales para obtener un beneficio para sus cómplices externos.

Algunos ataques recientes por parte de usuarios internos maliciosos:

• Al inicio de la pandemia de COVID-19, un exempleado descontento de una empresa de embalajes médicos utilizó una cuenta de administración creada anteriormente para configurar una nueva cuenta de usuario falsa, luego alteró miles de archivos de una manera que retrasaría o detendría los envíos de equipo de protección personal a hospitales y proveedores de atención médica.
   

• En 2022, un empleado de X fue arrestado por enviar información privada de usuarios de X a funcionarios del Reino de Arabia Saudita y la familia real saudí a cambio de sobornos. Según el Departamento de Justicia de Estados Unidos, el empleado “... actuó en secreto como agente de un gobierno extranjero apuntando a voces disidentes”.

Los usuarios internos negligentes no tienen intenciones maliciosas, pero crean inadvertidamente amenazas de seguridad por ignorancia o descuido, como caer en un ataque de phishing o eludir los controles de seguridad para ahorrar tiempo. Sus acciones también pueden incluir la pérdida de una computadora portátil que un delincuente cibernético podría usar para acceder a la red de la organización o el envío por correo electrónico de archivos confidenciales a personas ajenas a la organización.

Entre las empresas encuestadas en el informe Cost of Insider Threat Global Report 2022 de Ponemon, la mayoría de las amenazas internas, el 56 %, resultaron de usuarios internos descuidados o negligentes.²

Los actores de amenazas externos roban las credenciales de los usuarios legítimos, convirtiéndolos en usuarios internos comprometidos. Las amenazas lanzadas a través de usuarios internos comprometidos son las amenazas internas más caras, costando a las víctimas un promedio de 804,997 USD corregirlas según el informe de Ponemon.³

A menudo, los usuarios internos comprometidos son el resultado de un comportamiento interno negligente. Por ejemplo, en 2021, un estafador utilizó una táctica de ingeniería social, específicamente una llamada telefónica de phishing (vishing), para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma comercial Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque.

Las amenazas de usuarios internos las llevan a cabo, parcial o totalmente, usuarios internos con credenciales completas, incluidos los usuarios privilegiados. Este enfoque hace que sea particularmente difícil distinguir los indicadores y comportamientos de amenazas de usuarios internos maliciosos de las acciones habituales de los usuarios. Según un estudio, los equipos de seguridad tardan un promedio de 85 días en detectar y contener una amenaza de usuario interno ⁴, pero algunas amenazas de usuarios internos no se detectaron durante años.

Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.

Capacitar continuamente a todos los usuarios autorizados sobre la política de seguridad, como la higiene de contraseñas, el manejo adecuado de datos confidenciales y la notificación de dispositivos perdidos, puede ayudar a reducir el riesgo de amenazas de usuario interno negligente. Además, la capacitación en concientización sobre temas como el reconocimiento de estafas de phishing y el enrutamiento correcto de solicitudes de acceso al sistema o datos confidenciales puede mitigar el impacto general de las amenazas. Por ejemplo, según el Informe del costo de una filtración de datos, el costo promedio de una filtración de datos en empresas con capacitación de empleados fue 285,629 USD menos que el de empresas sin capacitación.

La gestión de identidad y acceso (IAM) se centra en la gestión de identidades de usuarios, autenticación y permisos de acceso, de una manera que garantiza que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. La gestión de acceso privilegiado, una subdisciplina de IAM, se centra en un control más sobre los privilegios de acceso otorgados a usuarios, aplicaciones, cuentas administrativas y dispositivos.

Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento o desmantelar inmediatamente cuentas de usuarios que abandonaron la empresa son ejemplos de acciones de gestión del ciclo de vida de la identidad que pueden reducir el riesgo de amenazas internas.

Los analytics de comportamiento de los usuarios (UBA) aplican analytics de datos avanzados e inteligencia artificial (IA) para representar comportamientos de usuario iniciales y detectar anomalías que puedan indicar amenazas cibernéticas emergentes o continuas, incluidas las posibles amenazas de usuarios internos. Una tecnología estrechamente relacionada, analytics de comportamiento de usuarios y entidades y entidades (UEBA), amplía estas capacidades para detectar comportamientos anormales en sensores de IoT y otros dispositivos de endpoint.

El UBA se utiliza con frecuencia junto con la gestión de eventos e información de seguridad (SIEM), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.

La seguridad ofensiva (OffSec) emplea tácticas adversarias, las mismas que los actores maliciosos usan en ataques del mundo real para fortalecer la seguridad de la red en lugar de comprometerla. Los hackers éticos, expertos en ciberseguridad expertos en técnicas de piratería, lideran la seguridad ofensiva identificando y resolviendo fallas del sistema de TI, riesgos de seguridad y vulnerabilidades en la forma en que los usuarios responden a los ciberataques.

Las medidas de seguridad ofensivas que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipo rojo, en las que un equipo de hackers éticos inician un ciberataque simulado y orientado a objetivos en la organización.