Human Risk y gestión de riesgos internos: El caso Rippling-Deel

Gestión de Riesgos Humanos

Las organizaciones reconocen cada vez más que las personas -empleados, clientes y partes interesadas- son a la vez su mayor activo y su mayor vulnerabilidad. Esto ha convertido la gestión del riesgo humano en el tema más candente de la ciberseguridad.

El error humano es una de las principales causas de las violaciones de datos y los ciberataques. Con el auge del trabajo a distancia y la transformación digital, la gestión de los riesgos relacionados con el factor humano en la ciberseguridad se ha convertido en un aspecto crítico. Las empresas se encuentran bajo presión para garantizar entornos de trabajo seguros y conformes con la normativa, especialmente en sectores como el financiero y el sanitario que utilizan y almacenan datos críticos de los clientes, datos que deben protegerse para evitar infringir la normativa y dañar la confianza del público. La gestión de los riesgos humanos ayuda a mitigar las infracciones, a garantizar el cumplimiento y a disminuir las responsabilidades legales y los daños a la reputación.

Las acciones de los empleados, tanto en línea como fuera de ella, pueden afectar significativamente a la seguridad de una empresa y a su reputación. La gestión de los riesgos humanos, como la divulgación accidental de credenciales de inicio de sesión, el clic en enlaces maliciosos, la visita a sitios web maliciosos y el uso inadecuado de las herramientas GenAI, es esencial para mantener la seguridad.

Por eso las organizaciones se están centrando tanto en la gestión de los riesgos humanos. Que los usuarios sean presa de correos electrónicos de phishing, hagan clic en enlaces que descargan malware, introduzcan información confidencial en herramientas como ChatGPT o incluso interactúen involuntariamente con ciberdelincuentes en herramientas de colaboración son accidentes que los equipos de seguridad están trabajando con los usuarios a través de programas de formación para evitarlos. De hecho, el reciente informe The State of Human Risk 2025 de Mimecast citaba que en una encuesta realizada a 1.100 profesionales de TI y seguridad, el 87% de los encuestados afirmaba que su organización forma a sus empleados para detectar ciberataques al menos una vez al trimestre. 

Gestión del riesgo de información privilegiada

Pero, ¿qué ocurre cuando el usuario no hace estas cosas por accidente? ¿Qué ocurre cuando un usuario que usted cree que es un miembro valioso de su equipo corporativo -uno que usted cree que está intentando de verdad hacer un buen trabajo y hacer lo correcto para su empleador- resulta ser en cambio un actor malicioso? A veces esto puede ocurrir cuando un empleado decide dejar la empresa o se entera de que pronto le van a despedir. Incluso puede ocurrir cuando un empleado es abordado por un ciberdelincuente y se le ofrece algo de valor para que le eche una mano en la intrusión en la empresa en la que trabaja. Según el reciente Informe 2024 sobre amenazas internas de Cybersecurity Insiders, el 83% de las organizaciones informaron de al menos un ataque interno en el último año.

Y en el lado extremo, ¿qué ocurre cuando el empleado es en realidad un topo plantado por su competencia para violar su seguridad y obtener sus secretos comerciales y otra información privilegiada? Muchos equipos de seguridad verían esto como algo imposible, algo que sólo ocurre en las películas, algo que nunca les sucedería en el transcurso de la seguridad de su organización, pero recientemente destaqué un caso así en un artículo para HR Executive.

El caso del acero ondulado

Para resumir la historia, el proveedor de servicios de RR.HH. Rippling ha presentado una demanda contra su competidor Deel, alegando que la empresa colocó a un empleado deshonesto en la oficina de Rippling en Dublín. Según la demanda:

• El topo Deel utilizó su acceso a la instancia Slack de Rippling para acceder a información propiedad de la empresa, incluidos secretos comerciales, pistas de ventas y otra propiedad intelectual en el transcurso de varios meses.
• Rippling puso al descubierto el esquema utilizando una trampa "honeypot" cuidadosamente orquestada dentro de Slack.
• Rippling identificó la actividad sospechosa después de que el empleado colocado por Deel comenzara a buscar en Slack menciones de competidores, información sensible sobre pagos y argumentos de venta confidenciales.
• Deel utilizó esta información en su beneficio hasta que se emprendieron acciones legales.

El caso de Rippling-Deel muestra con qué facilidad la cómoda comunicación de Slack puede convertirse en un arma y un lastre en las manos equivocadas. Estas vulnerabilidades exigen que los equipos de seguridad se comprometan a adoptar medidas de seguridad proactivas, incluida la supervisión de la mensajería interna junto con el correo electrónico. Estas medidas ayudan a los profesionales de la seguridad a garantizar que los datos se comparten correctamente para minimizar la exposición al riesgo.

Aunque es una herramienta maravillosa para ayudar a los equipos a colaborar, Slack es un objetivo muy atractivo para los actores maliciosos. Los repositorios de datos centralizados y la extensibilidad de su API abierta hacen que Slack sea muy vulnerable a la explotación, y cada espacio de trabajo de Slack contiene activos valiosos, como propiedad intelectual, documentos financieros y discusiones estratégicas, lo que lo convierte en un objetivo principal para las amenazas internas y las brechas externas. Sin unos protocolos de seguridad sólidos, las organizaciones corren el riesgo de exponer sus datos sensibles a infracciones catastróficas.

¿Qué pueden hacer los equipos de seguridad?

Para detener este tipo de ataques -desde un simple pero peligroso desliz de un empleado hasta un topo plantado por un competidor-, los equipos de seguridad deben vigilar diligentemente las comunicaciones de los empleados por diversos motivos, como una violación de datos, un suceso de amenaza interna, una queja de RR.HH. o una infracción legal.

Esto puede lograrse desplegando una herramienta de investigación avanzada como Mimecast Aware. Aware está diseñado para mejorar la seguridad, el cumplimiento y la gestión de datos dentro de herramientas de colaboración como Slack, Microsoft Teams y Zoom. Aborda riesgos como la pérdida de datos, la falta de conformidad y las amenazas a la seguridad proporcionando:

• Visibilidad completa mediante la recopilación, el procesamiento y la conservación centralizados de los datos de colaboración.
• Agilice la gestión de datos garantizando el cumplimiento de las políticas y normativas al tiempo que gestiona los datos de forma segura.
• Detección potenciada por IA mediante la identificación de amenazas, infracciones de políticas y uso compartido no autorizado de datos con reglas de detección personalizadas.
• Respuesta a incidentes a través de acciones automatizadas como redactar, poner en cuarentena o marcar contenidos sospechosos.
• Mitigación de riesgos mediante el seguimiento de los riesgos emergentes utilizando modelos de IA y PNL para supervisar comportamientos, sentimientos y tendencias.
• Integración perfecta con las pilas tecnológicas existentes, lo que ofrece un despliegue rápido y una gestión eficaz de los riesgos para los entornos de colaboración modernos.

Lo esencial

El caso Rippling-Deel pone de relieve cómo plataformas de comunicación aparentemente seguras pueden, en realidad, dejar al descubierto puntos débiles críticos. Estas plataformas, como Slack, deben salvaguardarse de forma proactiva y supervisarse en busca de actividades sospechosas. Obtenga más información sobre cómo Mimecast puede ayudarle a acelerar sus investigaciones en todo su patrimonio digital.