Las amenazas internas son amenazas de ciberseguridad que se originan con usuarios autorizados, contratistas, socios comerciales, que deliberan intencionalmente o accidentalmente el acceso legítimo, o que tienen sus cuentas secuestradas por delincuentes cibernéticos.
Si bien las amenazas externas son más comunes y acaparan los mayores titulares de ataques cibernéticos, las amenazas internas, ya sean maliciosas o el resultado de negligencia, pueden ser más costosas y peligrosas. Según el Informe sobre el costo de una filtración de datos 2023 de IBM, las filtraciones de datos iniciadas por usuarios internos maliciosos fueron las más costosas: 4.90 millones de USD en promedio, o 9.5 % más que el costo de 4.45 millones de USD de la filtración de datos promedio. Y un informe reciente de Verizon reveló que, aunque la amenaza externa promedio pone en riesgo alrededor de 200 millones de registros, los incidentes que involucran a un actor de amenazas interno han resultado en la exposición de 1 mil millones de registros o más.1
Vea cómo IBM Security® QRadar® SIEM identifica e investiga comportamientos anómalos.
Los usuarios internos maliciosos suelen ser empleados actuales descontentos (o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado) que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos usuarios internos maliciosos "trabajan" para un usuario externo malicioso, como un pirata informático, un competidor o un agente de un Estado-nación, para interrumpir las operaciones de la empresa (instalando malware o manipulando archivos o aplicaciones) o para filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.
Algunos ataques recientes por parte de usuarios internos maliciosos:
Al inicio de la pandemia de COVID-19, un exempleado descontento de una empresa de embalajes médicos utilizó una cuenta de administración creada anteriormente para configurar una nueva cuenta de usuario falsa, luego alteró miles de archivos de una manera que retrasaría o detendría los envíos de equipo de protección personal a hospitales y proveedores de atención médica (enlace externo a ibm.com).
En 2022, un empleado de Twitter fue arrestado por enviar la información privada de los usuarios de Twitter a funcionarios del Reino y a la familia real de Arabia Saudita a cambio de sobornos (enlace externo a ibm.com). Según el Departamento de Justicia de Estados Unidos, el empleado “... actuó en secreto como agente de un gobierno extranjero apuntando a voces disidentes”.
Los usuarios internos negligentes no tienen intenciones maliciosas, sino que crean amenazas de seguridad a través de la ignorancia o el descuido, por ejemplo, caer en un ataque de phishing, pasar por alto los controles de seguridad para ahorrar tiempo, perder una computadora portátil que un ciberdelincuente puede usar para acceder a la red de la organización, o enviar por correo electrónico los archivos incorrectos (por ejemplo, archivos que contienen información confidencial) a personas ajenas a la organización.
Entre las empresas encuestadas en el Ponemon Cost of Insider Threat Global Report 2022, la mayoría de las amenazas internas, el 56 %, resultaron de usuarios internos descuidados o negligentes.2
Los usuarios internos comprometidos son usuarios legítimos cuyas credenciales han sido robadas por actores de amenazas externos. Las amenazas lanzadas a través de usuarios internos comprometidos son las amenazas internas más caras, costando a las víctimas 804,997 USD remediar en promedio según el reporte de Ponemon.3
A menudo, los usuarios internos comprometidos son el resultado de un comportamiento interno negligente. Por ejemplo, en 2021, un estafador utilizó una ingeniería social táctica específicamente una llamada telefónica de phishing por voz (vishing) para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma comercial Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque (enlace externo a ibm.com).
Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas (y a veces por usuarios privilegiados), puede ser especialmente difícil separar los indicadores o comportamientos descuidados o maliciosos de amenazas internas de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan un promedio de 85 días en detectar y contener una amenaza interna4, pero algunas amenazas internas no se detectaron durante años (enlace externo a ibm.com).
Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.
La capacitación continua de todos los usuarios autorizados sobre la política de seguridad (por ejemplo, higiene de contraseñas, manejo adecuado de datos confidenciales, notificación de dispositivos perdidos) y conciencia de seguridad (por ejemplo, cómo reconocer una estafa de phishing, cómo enrutar correctamente las solicitudes de acceso al sistema o datos confidenciales) puede ayudar a reducir el riesgo de amenazas de usuarios internos negligentes.La capacitación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe sobre el costo de una filtración de datos 2023, el costo promedio de una filtración de datos en empresas con capacitación de empleados fue 232,867 USD menos (o un 5.2 % menos) que el costo promedio general de una filtración.
La gestión de identidad y acceso (IAM, por sus siglas en inglés) se centra en la gestión de identidades de usuarios, autenticación y permisos de acceso, de una manera que garantiza que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. (La administración de acceso privilegiado, una subdisciplina de IAM, se centra en un control más detallado sobre los privilegios de acceso otorgados a usuarios, aplicaciones, cuentas administrativas y dispositivos).
Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento o desmantelar inmediatamente cuentas de usuarios que abandonaron la empresa son ejemplos de acciones de gestión del ciclo de vida de la identidad que pueden reducir el riesgo de amenazas internas.
El análisis del comportamiento de los usuarios (UBA, por sus siglas en inglés) aplica análisis de datos avanzados e inteligencia artificial (IA) para modelar comportamientos de usuario iniciales y detectar anomalías que puedan indicar amenazas cibernéticas emergentes o continuas, incluidas las posibles amenazas internas. (Una tecnología estrechamente relacionada, analíticas de comportamiento de usuarios y entidades o UEBA, amplía estas capacidades para detectar comportamientos anormales en sensores de IoT y otros dispositivos de punto final).
El UBA se utiliza con frecuencia junto con la gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés), que recopila y correlaciona y analiza datos relacionados con la seguridad de toda la empresa.
La seguridad ofensiva (o OffSec) utiliza las mismas tácticas que utilizan los malintencionados en los atacantes del mundo real para fortalecer la seguridad de la red en lugar de comprometerla. La seguridad ofensiva es conducida típicamente por hackers éticos, profesionales de la ciberseguridad que utilizan habilidades de piratería para detectar y corregir no solo fallas del sistema de TI, sino también riesgos de seguridad y vulnerabilidades en la forma en que los usuarios responden a los ataques.
Las medidas de seguridad ofensivas que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipo rojo, en las que un equipo de hackers éticos lanzan un ciberataque simulado y orientado a objetivos en la organización.
Las amenazas internas pueden ser difíciles de detectar: la mayoría de los casos pasan desapercibidos durante meses o años. Proteja su organización contra amenazas maliciosas o no intencionales de los usuarios internos con acceso a su red.
Proporcione a los analistas de seguridad las herramientas que necesitan para mejorar significativamente las tasas de detección y acelerar el tiempo para detectar e investigar amenazas. Los datos de eventos normalizados de QRadar SIEM permiten a los analistas utilizar consultas simples para encontrar la actividad de ataque relacionada en diferentes fuentes de datos.
Proteja los activos críticos y gestione todo el ciclo de vida de las amenazas con un enfoque de gestión de amenazas inteligente y unificado que le ayuda a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones.
Notas de pie de página
1 Informe de investigaciones de filtración de datos de Verizon 2023 (enlace externo a ibm.com)
2, 3, 4 2022 Informe global sobre el costo de amenazas internas de Ponemon (para Proofpoint; enlace externo a ibm.com)