Inicio

Temas

Amenazas internas

¿Qué son las amenazas internas?
Explorar la solución de amenazas internas de IBM Regístrese para recibir las actualizaciones del tema de seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella digital, marca de verificación
¿Qué son las amenazas internas?

Las amenazas internas son amenazas de ciberseguridad que se originan de usuarios autorizados, como empleados, contratistas y asociados de negocios que intencional o accidentalmente hacen mal uso del acceso legítimo, o cuyas cuentas son secuestradas por delincuentes cibernéticos.

Si bien las amenazas externas son más comunes y acaparan los mayores titulares de ataques cibernéticos, las amenazas internas, ya sean maliciosas o el resultado de negligencia, pueden ser más costosas y peligrosas. Según el Informe del costo de una filtración de datos de IBM, las filtraciones de datos iniciadas por usuarios internos maliciosos fueron las más costosas, con un promedio de 4.99 millones de dólares. Un informe reciente de Verizon reveló que, aunque se pone en riesgo a alrededor de 200 millones de registros, los incidentes que involucran un actor de amenazas han resultado en la exposición de mil millones de registros o más.1

IBM X-Force Threat Intelligence Index

Obtenga insight para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.

Contenido relacionado Regístrese para recibir el informe sobre el costo de una filtración de datos
Tipos de amenazas internas
Usuarios internos maliciosos

Los usuarios internos maliciosos suelen ser empleados actuales descontentos (o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado) que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos usuarios internos maliciosos "trabajan" para un usuario externo malicioso, como un hacker, un competidor o un actor estatal, para interrumpir operaciones comerciales (plantar malware o manipular archivos o aplicaciones) o filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.

Algunos ataques recientes por parte de usuarios internos maliciosos:

Usuarios internos negligentes

Los usuarios internos negligentes no tienen intenciones maliciosas, sino que crean amenazas de seguridad a través de la ignorancia o el descuido, por ejemplo, caer en un ataque de phishing, pasar por alto los controles de seguridad para ahorrar tiempo, perder una computadora portátil que un delincuente cibernético puede usar para acceder a la red de la organización, o enviar por correo electrónico los archivos incorrectos (por ejemplo, archivos que contienen información confidencial) a personas ajenas a la organización.

Entre las empresas encuestadas en el informe Cost of Insider Threat Global Report 2022 de Ponemon, la mayoría de las amenazas internas, el 56 %, resultaron de usuarios internos descuidados o negligentes.2

Usuarios internos comprometidos

Los usuarios internos comprometidos son usuarios legítimos cuyas credenciales han sido robadas por actores de amenazas externos. Las amenazas lanzadas a través de usuarios internos comprometidos son las amenazas internas más caras, costando a las víctimas un promedio de 804,997 USD corregirlas según el informe de Ponemon.3

A menudo, los usuarios internos comprometidos son el resultado de un comportamiento interno negligente. Por ejemplo, en 2021, un estafador utilizó una táctica de ingeniería social, específicamente una llamada telefónica de phishing (vishing), para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma comercial Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque (enlace externo a ibm.com).

Armas en la lucha contra amenazas internas

Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas (y a veces por usuarios privilegiados), puede ser especialmente difícil separar los indicadores o comportamientos descuidados o maliciosos de amenazas internas de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan un promedio de 85 días en detectar y contener una amenaza interna 4, pero algunas amenazas internas no se detectaron durante años (enlace externo a ibm.com).

Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.

Capacitación para empleados y usuarios

La capacitación continua de todos los usuarios autorizados sobre la política de seguridad (como higiene de contraseñas, manejo adecuado de datos confidenciales y notificación de dispositivos perdidos) y conocimiento de seguridad (cómo reconocer una estafa de phishing, cómo enrutar correctamente las solicitudes de acceso al sistema o datos confidenciales) puede ayudar a reducir el riesgo de usuarios internos negligentes. La capacitación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe del costo de una filtración de datos, el costo promedio de una filtración de datos en empresas con capacitación de empleados fue de 285 629 USD menos que en empresas sin capacitación.

Gestión de identidad y acceso

La gestión de identidad y acceso (IAM) se centra en la gestión de identidades de usuarios, autenticación y permisos de acceso, de una manera que garantiza que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. La gestión de acceso privilegiado, una subdisciplina de IAM, se centra en un control más sobre los privilegios de acceso otorgados a usuarios, aplicaciones, cuentas administrativas y dispositivos.

Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento o desmantelar inmediatamente cuentas de usuarios que abandonaron la empresa son ejemplos de acciones de gestión del ciclo de vida de la identidad que pueden reducir el riesgo de amenazas internas.

Análisis del comportamiento del usuario

El analytics de comportamiento de los usuarios (UBA) aplica analytics de datos avanzados e inteligencia artificial (IA) para representar comportamientos de usuario iniciales y detectar anomalías que puedan indicar amenazas cibernéticas emergentes o continuas, incluidas las posibles amenazas internas. Una tecnología estrechamente relacionada, analytics de comportamiento de usuarios y entidades y entidades o UEBA, amplía estas capacidades para detectar comportamientos anormales en sensores de IoT y otros dispositivos de endpoint.

El UBA se utiliza con frecuencia junto con la gestión de eventos e información de seguridad (SIEM), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.

Seguridad ofensiva

La seguridad ofensiva (OffSec) emplea tácticas adversarias, las mismas que los actores maliciosos usan en ataques del mundo real para fortalecer la seguridad de la red en lugar de comprometerla. Normalmente, la seguridad ofensiva ocurre por parte de hackers éticos, profesionales de la ciberseguridad que utilizan habilidades de hacking para detectar y corregir no solo fallas del sistema de TI, sino también riesgos de seguridad y vulnerabilidades en la forma en que los usuarios responden a los ataques.

Las medidas de seguridad ofensivas que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de pishing y equipo rojo, en las que un equipo de hackers éticos inician un ciberataque simulado y orientado a objetivos en la organización.

Soluciones relacionadas
Soluciones internas de seguridad contra amenazas

Proteja su organización contra amenazas maliciosas o no intencionales de los usuarios internos con acceso a su red. Las amenazas internas pueden ser difíciles de detectar. La mayoría de los casos pasan desapercibidos durante meses o años. 

Explore las soluciones de seguridad contra amenazas internas
Servicios de gestión de amenazas

Proteja los activos críticos y gestione todo el ciclo de vida de las amenazas con un enfoque de gestión de amenazas inteligente y unificado que le ayuda a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones. 

Explore los servicios de gestión de amenazas
Recursos ¿Qué es SIEM?

Gestión de eventos e información de seguridad (SIEM) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.

Taller IBM Security Framing and Discovery

Comprenda su panorama de ciberseguridad y priorice iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de pensamiento de diseño de 3 horas, virtual o presencial, sin costo.

¿Qué es la gestión de amenazas?

La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.

Dé el siguiente paso

IBM Security Verify es una de las principales plataformas de IAM que proporciona capacidades impulsadas por IA para gestionar su fuerza laboral y las necesidades de sus clientes. Unifique los silos de identidad, reduzca el riesgo de ataques basados en la identidad y proporcione autenticación moderna, incluso sin contraseña.

Explore Verify Pruebe Verify durante 90 días
Notas de pie de página

Informe de investigaciones de filtración de datos de Verizon 2023 (enlace externo a ibm.com)

2, 3, 4 2022 Informe global sobre el costo de amenazas internas de Ponemon (para Proofpoint; enlace externo a ibm.com)