¿Qué son las amenazas internas?

Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de ellos de forma deliberada o accidental.

Primer plano de un hombre pensativo con una pantalla de computadora reflejada en sus gafas

¿Por qué las amenazas internas son particularmente peligrosas?

Los ataques cibernéticos a través del abuso de acceso pueden dañar a una empresa, a sus empleados y a sus clientes. De acuerdo con el  "IBM X-Force Threat Intelligence Index 2020", las amenazas internas inadvertidas son la razón principal del aumento de más del 200 % en la cantidad de registros vulnerados en 2019 con respecto al 2018. Las personas internas generalmente saben dónde se encuentran los datos confidenciales de una organización y, a menudo, tienen altos niveles de acceso, independientemente de si tienen intenciones maliciosas o no.

Los ataques internos también son costosos para las empresas. En el  estudio del costo de las amenazas internas 2020 de Ponemon Institute, los investigadores descubrieron que el costo anual promedio de la brecha de seguridad de datos internos era de USD 11.45 millones, y que el 63 % de los incidentes se atribuían a negligencia.

Ya sea de forma accidental o deliberada, las personas con información privilegiada pueden exponer, o ayudar a exponer, información confidencial del cliente, propiedad intelectual y dinero.


Tipos de amenazas internas

Los empleados actuales, exempleados, contratistas o socios comerciales son personas con información privilegiada que podrían representar una amenaza. Sin embargo, cualquier persona con el nivel adecuado de acceso a los sistemas informáticos  y datos de una empresa pueden dañarla, incluyendo los proveedores o vendedores.

Las personas internas tienen distintos niveles de motivación, conciencia, nivel de acceso e intención. Ponemon Institute describe a estas personas como negligentes, criminales o con credenciales. Y Gartner agrupa las amenazas internas en cuatro categorías: peones, tontos, colaboradores y lobos solitarios. Nota: Ponemon Institute y Gartner generan y proporcionan informes de investigación, asesoramiento y educación independientes a empresas y organizaciones gubernamentales.

El peón

Los peones son empleados que, sin saberlo, son manipulados para realizar actividades maliciosas. Ya sea descargando malware o revelando credenciales a estafadores a través de correos electrónicos de estafa focalizada o ingeniería social, los peones dañan a una organización.

El tonto

Los tontos son usuarios ignorantes o arrogantes que creen que están exentos de las políticas de seguridad. Por conveniencia o incompetencia, intentan activamente eludir los controles de seguridad. Y en contra de las políticas de seguridad, los tontos dejan los datos y recursos vulnerables sin protección, lo que brinda un acceso fácil a los atacantes. "El 90 % de los incidentes internos son causados por tontos", según el informe "Go-to-Market for Advanced Insider Threat Detection" de Gartner.

El colaborador

Los colaboradores cooperan con personas externas, como los competidores de una empresa o los estados nación, para cometer un delito. Usan su acceso para robar propiedad intelectual e información de clientes o causar interrupciones en las operaciones comerciales, a menudo para obtener ganancias financieras o personales.

El lobo solitario

Además, a menudo para obtener ganancias económicas, los lobos solitarios actúan de forma independiente y maliciosa sin influencia externa o manipulación. Los lobos solitarios son especialmente peligrosos cuando tienen grandes privilegios, como los administradores de sistemas o de bases de datos.


Cómo los estafadores utilizan información privilegiada vulnerable

Si el objetivo de un estafador se encuentra dentro de un sistema protegido, se concentra en obtener los privilegios de acceso de un empleado. Los estafadores se aprovechan de los peones y los tontos para cometer sus delitos cibernéticos. Usan muchas tácticas y técnicas para obtener credenciales: correos electrónicos de estafa, ataques de abrevadero y malware, por nombrar algunos. Con esas credenciales, los estafadores pueden moverse lateralmente dentro de un sistema, escalar sus privilegios, realizar cambios y acceder a datos confidenciales o dinero. Los estafadores pueden acceder a datos o información desde ubicaciones no seguras durante la comunicación de salida utilizando un servidor de mando y control (C2). Pueden realizar cambios en los intentos de salida o realizar transferencias de salida de volumen.

Cómo atacan los estafadores:

Buscan vulnerabilidades

  • Despliegan  e-mails de phishing o malware
  • Identifican  un usuario deshonesto
  • Obtienen  credenciales comprometidas

Explotan el acceso

  • Mueven lateralmente al objetivo deseado
  • Escalan privilegios según sea necesario
  • Acceden a activos

Abusan del acceso

  • Ofuscan la actividad de la red
  • Alteran datos
  • Exfiltran datos

Cómo mitigar las amenazas internas

Existen diferentes controles técnicos y no técnicos que las empresas pueden adoptar para mejorar la detección y prevención de cada tipo de amenaza interna.

Cada tipo presenta diferentes señales para que los equipos de seguridad puedan identificarlas. Pero al comprender las motivaciones de los atacantes, los equipos de seguridad pueden abordar la defensa contra amenazas internas de manera proactiva. Para mitigarlas, las organizaciones exitosas utilizan enfoques integrales. Podrían usar software de seguridad que:

  • Mapea datos accesibles
  • Establece mecanismos de confianza: concesión de acceso, revocación de acceso e implementación de autenticación multifactor (MFA)
  • Define políticas sobre dispositivos y almacenamiento de datos
  • Supervisa amenazas potenciales y comportamientos riesgosos
  • Toma acción cuando es necesario

En un Informe SANS sobre amenazas avanzadas de 2019, los profesionales de seguridad identificaron brechas significativas en la defensa contra amenazas internas. El informe descubrió que las brechas se deben a la falta de visibilidad en dos áreas: un estándar del comportamiento normal del usuario y gestión de cuentas de usuarios con privilegios. Estas brechas se convierten en objetivos atractivos para las tácticas de estafa por correo electrónico y credenciales comprometidas.

Conozca a sus usuarios

  1. ¿Quién tiene acceso a los datos confidenciales?
  2. ¿Quién debe tener acceso?
  3. ¿Qué hacen los usuarios finales con los datos?
  4. ¿Qué hacen los administradores con los datos?

Conozca sus datos

  1. ¿Qué datos son confidenciales?
  2. ¿Se está exponiendo información confidencial?
  3. ¿Qué riesgo está asociado con los datos confidenciales?
  4. ¿Pueden los administradores controlar el acceso de los usuarios con privilegios a los datos confidenciales?

Detección y resolución

Después de establecer un modelo de amenazas, las organizaciones se enfocan en detectar y solucionar las amenazas internas y las brechas de seguridad.

Los equipos de seguridad deben distinguir entre la actividad habitual de un usuario y la actividad posiblemente maliciosa para detectar amenazas internas. Para diferenciar entre estas actividades, las empresas deben primero solucionar las brechas de visibilidad. Luego, deben agregar los datos de seguridad a una solución de supervisión centralizada, ya sea parte de una  plataforma de gestión de información y eventos de seguridad (SIEM)  o una solución independiente de analítica del comportamiento de entidades y usuarios (UEBA). Muchos equipos comienzan con registros de cambios de acceso, autenticación y cuenta. Luego, amplían el alcance a fuentes de datos adicionales, como una red privada virtual (VPN) y registros de puntos finales, a medida que los casos de uso de amenazas internas incrementan.

Las organizaciones deben adoptar una solución de gestión de accesos privilegiados (PAM) y añadir datos del acceso a cuentas privilegiadas desde esa solución a la plataforma SIEM. Una vez que las empresas centralizan la información, pueden modelar el comportamiento del usuario y asignar puntuaciones de riesgo. Las puntuaciones de riesgo están vinculados a eventos riesgosos específicos, como cambios en la geografía del usuario o descargas a medios extraíbles. La asignación de puntuaciones de riesgo también brinda a los equipos del centro de operaciones de seguridad (SOC) la capacidad de supervisas el riesgo en toda la empresa, ya sea creando listas de vigilancia o destacando a los usuarios de mayor riesgo en su organización.

Con suficientes datos históricos, los modelos de seguridad pueden crear un estándar del comportamiento normal de cada usuario. Este estándar indica las operaciones normales de un usuario o máquina para que el sistema pueda identificar desviaciones. Se debe realizar un seguimiento de las desviaciones de usuarios individuales y deben compararse con otros usuarios en la misma ubicación, con el mismo cargo o función laboral.

Al adoptar una vista centrada en el usuario, los equipos de seguridad pueden detectar rápidamente la actividad de amenazas internas y gestionar el riesgo de los usuarios desde una ubicación centralizada. Por ejemplo, la analítica del comportamiento del usuario puede detectar intentos de inicio de sesión anormales en un momento inusual del día o desde una ubicación inusual o múltiples intentos fallidos de contraseña y generar una alerta según corresponda para que un analista lo valide. En otras palabras, cualquier anomalía de comportamiento ayudará a identificar cuándo un usuario se ha convertido en una persona interna malintencionada o si un atacante externo ha comprometido sus credenciales.

Una vez validado, un sistema de orquestación, automatización y respuesta de seguridad (SOAR) puede crear un flujo de trabajo de resolución de amenazas internas. Luego, la guía de referencias puede especificar qué resolución se necesita. La posible resolución podría incluir desafiar a la persona interna con MFA o revocar el acceso, cualquiera de los cuales puede llevarse a cabo automáticamente con la solución de gestión de accesos e identidades (IAM).


Cómo protegerse de las amenazas internas de la fuerza laboral remota

Las amenazas  de seguridad han aumentado y se han vuelto más complejas a medida que se han expandido las prácticas de trabajo desde casa y de trabajo remoto. Como resultado, el trabajo remoto ha cambiado fundamentalmente las prioridades de seguridad y las medidas de seguridad. Este cambio de seguridad ha introducido nuevos desafíos para los equipos de seguridad:

  • Aumento general de incidentes de seguridad debido a cambios de comportamiento y mayor superficie de ataque
  • Aumento de los ataques de phishing
  • Falta de visibilidad de puntos finales y servidores no conectados a VPN
  • Cambios en el comportamiento de los empleados debido a horarios de trabajo irregulares, diferentes ubicaciones y cambios en el comportamiento de navegación web
  • Mayor uso de aplicaciones SaaS y falta de visibilidad

Los directores de seguridad de la información (CISO) deben hacer frente al rápido cambio en la seguridad de TI a medida que se mueve fuera de la red corporativa. Un equipo CISO debe comprender mejor los distintos comportamientos de sus empleados remotos y las implicaciones del trabajo remoto para detectar amenazas internas y proteger de manera efectiva los activos empresariales. Para abordar los desafíos de la fuerza laboral remota, los CISO deben poder responder las siguientes preguntas:

  • ¿Cómo podemos verificar que la persona que inicia sesión en la red privada virtual (VPN) corporativa es el empleado y no un atacante que usa credenciales robadas?
  • ¿Cómo podemos verificar que el comportamiento anómalo de un empleado no sea el resultado de trabajar de forma remota?
  • ¿Cómo podemos ayudar a asegurar que los empleados se conecten a ubicaciones de Internet abiertas y no seguras, como cafeterías?

Al comprender los comportamientos de los trabajadores remotos, los equipos de seguridad pueden detectar un comportamiento anormal que podría indicar un compromiso de credenciales o una intención maliciosa. A menudo, pueden detectar estos comportamientos en los límites de la VPN antes de que los empleados causen posibles daños. En el perímetro, los CISO deben determinar si sus funcionalidades actuales de amenazas internas les permiten:

  • Obtener la visibilidad adecuada de los registros de acceso, autenticación y VPN.
  • Determinar si las credenciales de los empleados se están utilizando en dos lugares simultáneamente o desde una ubicación geográfica inusual.
  • Identificar si los empleados usan credenciales fuera del horario laboral habitual en la ciudad de su ubicación principal o si la duración de la conexión es más larga de lo habitual.
  • Terminar la conexión, bloquear el dispositivo y revocar las credenciales a través de IAM.

Indicadores de amenazas internas

Supongamos que un atacante logra evadir la detección en el perímetro y está dentro de la red de la empresa. En ese caso, los equipos de seguridad deben validar la amenaza buscando varias credenciales comprometidas o indicadores de abuso de acceso.

Los equipos de seguridad pueden derivar indicadores de amenazas internas a través de muchos métodos, a menudo asistidos por machine learning. Estos métodos pueden ayudar a determinar si el acceso es de un empleado legítimo o un ladrón de credenciales. Dentro de la red de la organización, los CISO deben evaluar si sus funcionalidades actuales de amenazas internas les permiten:

  • Crear modelos de distintos patrones de actividad estándar y de frecuencia para detectar desviaciones. Una desviación puede indicar abuso, ya sea intencional o accidental.
  • Supervisar los intentos de extracción de datos a partir de la cantidad de intentos de comunicación de salida o conexiones en un día determinado. Si la cantidad de comunicaciones de salida de un empleado aumenta, podría sugerir supervisar de cerca las credenciales de ese usuario.
  • Identificar transferencias de conjuntos de datos grandes y anormales para un empleado determinado. Supervisar la transferencia de datos agregados puede indicar un compromiso temprano de manera simple pero efectiva.
  • Inspeccionar la integridad de puntos finales en busca de aplicaciones sospechosas, lo que podría indicar actividad de malware. Al identificar nuevos procesos o ejecuciones de aplicaciones, puede contener el malware y reducir el riesgo de seguridad de la empresa.

Al adaptar proactivamente sus programas para compensar el cambio en el comportamiento de los empleados y maximizar las inversiones en herramientas existentes, los equipos de seguridad pueden proteger mejor una red empresarial.


Soluciones relacionadas

Combata el aumento de las amenazas internas para proteger los datos

El robo de información, el sabotaje de TI y el fraude se están produciendo cada vez más a manos de personal interno experto e informado. Gracias al acceso fácil a su información más valiosa, pueden aprovechar las brechas de seguridad y causar daños irreparables a su organización.


Obtenga visibilidad de las amenazas internas

IBM® QRadar User Behavior Analytics (UBA) analiza la actividad del usuario para detectar a actores internos maliciosos y determinar si las credenciales de usuario se han puesto en riesgo. Los analistas de seguridad pueden identificar fácilmente a los usuarios peligrosos, ver sus actividades anómalas y analizar el registro subyacente y los datos que contribuyen a la puntuación de riesgo de un usuario.


Conecte de forma segura a todos los usuarios con el nivel de acceso correcto

Otorgue derechos de acceso, proporcione inicio de sesión único desde cualquier dispositivo, mejore la seguridad con la autenticación multifactor, habilite la gestión del ciclo de vida del usuario, proteja las cuentas con privilegios y más.


Centralice la visibilidad de las amenazas internas

Obtenga insights accionables a partir de los datos de seguridad aislados, identifique rápidamente las amenazas principales y reduzca la cantidad total de alertas. Con una mayor visibilidad de entornos locales y en la nube, su equipo puede aplicar IA para acelerar las investigaciones y automatizar la respuesta y la resolución.


Acelere la respuesta a incidentes

La detección de amenazas es solo una parte de la seguridad. También necesita una respuesta de incidentes inteligente por el volumen cada vez mayor de alertas, las diversas herramientas y la escasez de personal. Las organizaciones maduras están adoptando una única plataforma de orquestación, automatización y respuesta de seguridad (SOAR), y trabajan con servicios de consultoría y gestionados para mejorar sus centros de operaciones de seguridad.