Las amenazas internas son amenazas de ciberseguridad que se originan de usuarios autorizados, como empleados, contratistas y asociados de negocios que intencional o accidentalmente hacen mal uso del acceso legítimo, o cuyas cuentas son secuestradas por delincuentes cibernéticos.
Si bien las amenazas externas son más comunes y acaparan los mayores titulares de ataques cibernéticos, las amenazas internas, ya sean maliciosas o el resultado de negligencia, pueden ser más costosas y peligrosas. Según el Informe del costo de una filtración de datos 2023 de IBM, las filtraciones de datos iniciadas por usuarios internos maliciosos fueron las más costosas, con un promedio de alrededor de 4.90 millones de dólares o un 9.5 % más que el costo promedio de 4.45 millones de dólares de la filtración de datos. Un informe reciente de Verizon reveló que, aunque pone en riesgo alrededor de 200 millones de registros, los incidentes que involucran a un actor de amenazas han resultado en la exposición de mil millones de registros o más.1
Obtenga insights para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Los usuarios internos maliciosos suelen ser empleados actuales descontentos (o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado) que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos usuarios internos maliciosos "trabajan" para un usuario externo malicioso, como un hacker, un competidor o un actor estatal, para interrumpir operaciones comerciales (plantar malware o manipular archivos o aplicaciones) o filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.
Algunos ataques recientes por parte de usuarios internos maliciosos:
Al inicio de la pandemia de COVID-19, un exempleado descontento de una empresa de embalajes médicos utilizó una cuenta de administración creada anteriormente para configurar una nueva cuenta de usuario falsa, luego alteró miles de archivos de una manera que retrasaría o detendría los envíos de equipo de protección personal a hospitales y proveedores de atención médica (enlace externo a ibm.com).
En 2022, un empleado de X fue detenido por enviar información privada de usuarios de X a funcionarios del Reino de Arabia Saudí y de la familia real saudí a cambio de sobornos (el enlace reside fuera de ibm.com). Según el Departamento de Justicia de Estados Unidos, el empleado “... actuó en secreto como agente de un gobierno extranjero apuntando a voces disidentes”.
Los usuarios internos negligentes no tienen intenciones maliciosas, sino que crean amenazas de seguridad a través de la ignorancia o el descuido, por ejemplo, caer en un ataque de phishing, pasar por alto los controles de seguridad para ahorrar tiempo, perder una computadora portátil que un delincuente cibernético puede usar para acceder a la red de la organización, o enviar por correo electrónico los archivos incorrectos (por ejemplo, archivos que contienen información confidencial) a personas ajenas a la organización.
Entre las empresas encuestadas en el informe Cost of Insider Threat Global Report 2022 de Ponemon, la mayoría de las amenazas internas, el 56 %, resultaron de usuarios internos descuidados o negligentes.2
Los usuarios internos comprometidos son usuarios legítimos cuyas credenciales han sido robadas por actores de amenazas externos. Las amenazas lanzadas a través de usuarios internos comprometidos son las amenazas internas más caras, costando a las víctimas un promedio de 804,997 USD corregirlas según el informe de Ponemon.3
A menudo, los usuarios internos comprometidos son el resultado de un comportamiento interno negligente. Por ejemplo, en 2021, un estafador utilizó una táctica de ingeniería social, específicamente una llamada telefónica de phishing (vishing), para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma comercial Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque (enlace externo a ibm.com).
Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas (y a veces por usuarios privilegiados), puede ser especialmente difícil separar los indicadores o comportamientos descuidados o maliciosos de amenazas internas de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan un promedio de 85 días en detectar y contener una amenaza interna 4, pero algunas amenazas internas no se detectaron durante años (enlace externo a ibm.com).
Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.
La capacitación continua de todos los usuarios autorizados sobre la política de seguridad (como higiene de contraseñas, manejo adecuado de datos confidenciales y notificación de dispositivos perdidos) y conocimiento de seguridad (cómo reconocer una estafa de phishing, cómo enrutar correctamente las solicitudes de acceso al sistema o datos confidenciales) puede ayudar a reducir el riesgo de usuarios internos negligentes. La capacitación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe del costo de una filtración de datos 2023, el costo promedio de una filtración de datos en empresas con capacitación de empleados fue 232,867 USD (o un 232,867 % menos) que el costo promedio general de una filtración.
La gestión de identidad y acceso (IAM) se centra en la gestión de identidades de usuarios, autenticación y permisos de acceso, de una manera que garantiza que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. La gestión de acceso privilegiado, una subdisciplina de IAM, se centra en un control más sobre los privilegios de acceso otorgados a usuarios, aplicaciones, cuentas administrativas y dispositivos.
Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento o desmantelar inmediatamente cuentas de usuarios que abandonaron la empresa son ejemplos de acciones de gestión del ciclo de vida de la identidad que pueden reducir el riesgo de amenazas internas.
El analytics de comportamiento de los usuarios (UBA) aplica analytics de datos avanzados e inteligencia artificial (IA) para representar comportamientos de usuario iniciales y detectar anomalías que puedan indicar amenazas cibernéticas emergentes o continuas, incluidas las posibles amenazas internas. Una tecnología estrechamente relacionada, analytics de comportamiento de usuarios y entidades y entidades o UEBA, amplía estas capacidades para detectar comportamientos anormales en sensores de IoT y otros dispositivos de endpoint.
El UBA se utiliza con frecuencia junto con la gestión de eventos e información de seguridad (SIEM), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.
La seguridad ofensiva (OffSec) emplea tácticas adversarias, las mismas que los actores maliciosos usan en ataques del mundo real para fortalecer la seguridad de la red en lugar de comprometerla. Normalmente, la seguridad ofensiva ocurre por parte de hackers éticos, profesionales de la ciberseguridad que utilizan habilidades de hacking para detectar y corregir no solo fallas del sistema de TI, sino también riesgos de seguridad y vulnerabilidades en la forma en que los usuarios responden a los ataques.
Las medidas de seguridad ofensivas que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de pishing y equipo rojo, en las que un equipo de hackers éticos inician un ciberataque simulado y orientado a objetivos en la organización.
Proteja su organización contra amenazas maliciosas o no intencionales de los usuarios internos con acceso a su red. Las amenazas internas pueden ser difíciles de detectar. La mayoría de los casos pasan desapercibidos durante meses o años.
Proteja los activos críticos y gestione todo el ciclo de vida de las amenazas con un enfoque de gestión de amenazas inteligente y unificado que le ayuda a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
Gestión de eventos e información de seguridad (SIEM) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.
Conozca la amenaza para vencerla. Obtenga insights aplicables en la práctica para comprender cómo los actores de amenazas llevan a cabo los ataques y cómo proteger de manera proactiva a su organización.
Comprenda su escenario de ciberseguridad y priorice iniciativas junto con arquitectos y consultores sénior de seguridad de IBM en una sesión de design thinking de 3 horas, virtual o presencial, sin costo.
La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.
Lea las últimas tendencias y técnicas de prevención de amenazas internas en Security Intelligence, el blog de liderazgo de pensamiento organizado por IBM Security.
Notas de pie de página
1 Informe de investigaciones de filtración de datos de Verizon 2023 (enlace externo a ibm.com)
2, 3, 4 2022 Informe global sobre el costo de amenazas internas de Ponemon (para Proofpoint; enlace externo a ibm.com)