Cuando los trabajadores a distancia no son quienes parecen ser

Imagine lo siguiente: Un prometedor informático llamado John consigue un trabajo a distancia en una importante empresa de software. Su perfil de LinkedIn es impecable, su currículum vitae también. Sin embargo, lo que su jefe de contratación no sabe es que John no es real: es un personaje creado por un operativo norcoreano mediante deepfakes mejorados con IA. En pocas semanas, "John" está desviando datos confidenciales sin ser detectado. 

Estas historias son cada vez más frecuentes. Pero lo que los responsables de contratación no ven es la maquinaria que hay entre bastidores: herramientas de vídeo deepfake, identidades estadounidenses robadas y una "granja" de ordenadores portátiles en todo el país donde los dispositivos se encienden y funcionan mediante proxy. 

Es una nueva vuelta de tuerca a una vieja historia, pero ésta es la cara actual del riesgo de información privilegiada: una campaña real y continua respaldada por un Estado-nación adversario. Ciberagentes de Corea del Norte están utilizando personas falsas para conseguir puestos de TI en empresas legítimas. Una vez dentro, desvían datos sensibles y desvían ingresos para financiar los programas armamentísticos del régimen, burlando las defensas convencionales diseñadas para las amenazas de ayer.  

 El régimen ha ido creciendo al menos desde 2022. Según un reciente aviso publicado por el FBI, los actores de la amenaza están aumentando su actividad maliciosa para incluir la extorsión de datos. Alertas anteriores han señalado que un solo operativo puede ganar hasta 300.000 dólares al año, lo que contribuye a una canalización de decenas de millones de dólares que fluyen hacia las entidades sancionadas. Este mes, el Departamento de Justicia de EE.UU. se incautó de 7,74 millones de dólares en criptodivisas rastreadas hasta trabajadores informáticos norcoreanos que utilizaban identidades falsas para asegurarse trabajos a distancia y canalizar dinero. 

En mayo, una investigación de Politico reveló que los operativos norcoreanos siguen consiguiendo puestos tecnológicos a distancia en empresas estadounidenses utilizando falsificaciones mejoradas con IA y tácticas de suplantación de identidad. Detrás de cada portátil comprometido hay una empresa sorprendida con la guardia baja, a menudo sin saber que se ha convertido en un socio involuntario del espionaje internacional. Estos operativos no sólo amenazan sus datos. Desafían las propias suposiciones que hacemos sobre en quién se puede confiar dentro de los muros de nuestras redes.

Por qué esta amenaza exige atención ahora  

Los operativos norcoreanos explotan la confianza y la rapidez incorporadas a las prácticas modernas de trabajo a distancia. Navegan a través del onboarding con documentos falsificados y a menudo solicitan que los dispositivos corporativos se envíen a direcciones de EE.UU., donde un pequeño grupo de cómplices mantiene docenas de máquinas, cada una de ellas conectada a sus sistemas, descargando sus datos y eludiendo los controles de verificación de identidad. 

Una vez incrustados, estos infiltrados se comportan como amenazas persistentes avanzadas (APT). Utilizan herramientas estándar como VPN, aplicaciones para compartir archivos y scripts de automatización para llevar a cabo sus actividades a plena vista. Es poco probable que las defensas perimetrales tradicionales, e incluso los controles de identidad, puedan detenerlos. Y como a menudo operan bajo la apariencia de contratistas o empleados legítimos, muchas organizaciones no detectan la amenaza hasta que es demasiado tarde. 

La tecnología que permite que se produzca esta estafa sólo mejorará y se hará más sofisticada con el tiempo, por lo que el problema no desaparecerá pronto y será más difícil de abordar. Las consecuencias de no detectar las amenazas internas van mucho más allá de las pérdidas económicas. Se trata de proteger su reputación, a sus clientes y su capacidad para innovar en un mercado competitivo. Para los CISO, el reto está claro: ¿Dispone de la visibilidad necesaria para detectar la exfiltración sutil de archivos? ¿Sus controles detectan anomalías en tiempo real? Y lo que es más importante, ¿están sus estrategias de riesgo interno diseñadas para adversarios tan decididos y tan buenos para camuflarse?

Reformular el riesgo de información privilegiada para una realidad patrocinada por el Estado 

Los responsables de seguridad han entendido durante mucho tiempo las amenazas internas como un problema de riesgo humano: descontento, descuido o sabotaje ocasional. Pero los operativos norcoreanos que se hacen pasar por empleados dan la vuelta a ese modelo.  Para frustrar este nivel de amenaza, la cuestión no es sólo quién tiene acceso a los datos sensibles. Es cómo se utiliza ese acceso, qué se mueve y si la actividad tiene sentido en el contexto más amplio del comportamiento.

Las capacidades de protección de datos y riesgos internos de Mimecast, incluidas las ofrecidas a través de Incydr, están diseñadas para responder a estas preguntas. A diferencia de las herramientas DLP heredadas o de punto final limitado, se centran en cómo se manejan los datos en los flujos de trabajo del mundo real a través de los agentes, lo que ofrece a los equipos de seguridad la capacidad de: 

Rastree la exfiltración de archivos con contexto. Detecte no sólo los grandes movimientos de datos, sino también las transferencias sutiles, poco utilizadas y de gran valor -como fragmentos de código, documentos legales o PDF confidenciales- que a menudo escapan a los filtros tradicionales. 

Restrinja y controle las herramientas no autorizadas. Detecte y bloquee el uso de programas de acceso remoto, scripts de automatización y VPN que puedan indicar un acceso persistente por parte de actores de amenazas que trabajan entre bastidores. 

Correlacionar identidad y comportamiento. Intégrelo con UEBA y plataformas de identidad para sacar a la luz incoherencias como inicios de sesión simultáneos desde distintas geografías o cuentas que escalan privilegios sin motivo. 

Aplique la inteligencia sobre amenazas allí donde cuente. Incorpore tácticas conocidas a partir de OSINT y de la investigación de amenazas -como el uso de números VoIP, comportamientos inusuales de los dispositivos o el acceso persistente a través de múltiples perfiles- para afinar la detección de forma proactiva. 

Al combinar las percepciones de los agentes con el análisis centrado en los datos, estas herramientas ayudan a los equipos de seguridad a pasar de la limpieza reactiva a la interrupción preventiva. Ese cambio es crítico cuando su adversario es paciente, está coordinado y a menudo se esconde a plena vista. 

Para mitigar eficazmente las amenazas internas sin alarmismos innecesarios, los CISO deben centrarse en medidas prácticas y proactivas que equilibren la seguridad y la confianza de los empleados con la tecnología adecuada.

Las mejores prácticas clave incluyen: 

Verifique las identidades y controle el acceso: Garantice comprobaciones exhaustivas de la identidad durante la contratación y supervise de cerca el acceso a los datos cuando los empleados se incorporen y otros puntos de inflexión de alto riesgo durante el ciclo de vida del empleado. 

Aumente la visibilidad: Utilice herramientas de supervisión para rastrear los movimientos de los archivos y detectar comportamientos inusuales de los usuarios, centrándose en los usuarios de alto riesgo como los contratistas o los empleados totalmente remotos. 

Proteja los datos sensibles: Cifre los datos críticos y restrinja el uso de herramientas no autorizadas. 

Eduque a los empleados: Proporcione formación continua y puntual para evitar fugas accidentales de datos y fomente la notificación de actividades sospechosas. 

Revise periódicamente las políticas de seguridad: Realice evaluaciones periódicas de los riesgos, actualice los protocolos y limite el acceso a la información sensible. 

Prepárese para los incidentes: Establezca planes de respuesta claros y documente todas las investigaciones para garantizar una actuación rápida y eficaz cuando surjan riesgos. 

Mediante la adopción de estas prácticas, las organizaciones pueden hacer frente a las amenazas internas con eficacia, al tiempo que fomentan una cultura consciente de la seguridad que da prioridad a la colaboración y la confianza.

Mantenerse por delante de la amenaza de los iniciados maliciosos 

A medida que esta amenaza sigue evolucionando, las organizaciones deben ir más allá de los modelos de defensa estáticos y basados en el perímetro. Las amenazas internas son dinámicas y combatirlas requiere soluciones dinámicas. Es esencial un cambio de mentalidad: de la prevención a la visibilidad. No se puede detener lo que no se ve. 

Vea cómo Mimecast Incydr puede descubrir y detener las amenazas internas antes de que causen daños irreparables. Explórelo en acción o póngase en contacto para una demostración.