¿Qué es una amenaza interna?

¿Qué es una amenaza interna?

Una amenaza interna es un empleado (actual o antiguo), contratista u otro individuo que tiene acceso a información privilegiada de una organización y explota ese conocimiento para obtener beneficios personales o monetarios.

Estas amenazas representan un riesgo importante para la ciberseguridad, ya que cualquier persona con acceso autorizado puede hacer un mal uso de sus permisos para comprometer datos o sistemas sensibles.

No todas las amenazas internas son necesariamente maliciosas. Algunas se deben a errores humanos y otras simplemente a que un empleado intenta trabajar de forma más eficiente con la tecnología o las aplicaciones que prefiere.

En esta guía, descubrirá cómo identificar las amenazas internas, cómo se producen y consejos para defender su organización contra ellas.

Tipos de amenazas internas y ejemplos

Hoy en día, es fácil que las empresas dediquen una cantidad excesiva de tiempo, dinero y esfuerzo a protegerse de los ataques externos. Pero con el cambio a entornos de trabajo remotos e híbridos, las peores amenazas podrían estar sentadas justo delante de usted -operando desde dentro- arriesgándose a la exposición de secretos comerciales, información de RR.HH., datos de clientes y mucho más.

Dado que tantas personas tienen acceso legítimo a los sistemas de la empresa, es fácil que se produzcan filtraciones malintencionadas o incluso involuntarias por debajo del radar de su empresa.

Tipos comunes de amenazas internas

1. Usuarios involuntarios o negligentes - Empleados que involuntariamente cometen violaciones de datos al dejar datos sensibles sin proteger. Este tipo de infracción puede producirse si un empleado deja un dispositivo de trabajo desbloqueado o en una zona donde pueda ser robado. La negligencia también puede venir en forma de empleados que se saltan los protocolos de seguridad que consideran innecesarios o molestos.

2. Intencionados - Entre ellos se incluyen los empleados que se marchan o descontentos que, voluntaria o involuntariamente, abandonan una empresa y explotan los datos de la compañía para obtener beneficios personales o monetarios. Un ejemplo de ello sería un empleado descontento que vende información confidencial y patentada sobre su organización a un competidor.

3. Espionaje - Agentes internos que operan en nombre de un grupo externo para llevar a cabo una violación de datos u otro ataque. Estas amenazas pueden ser tan inocentes como la de un empleado engañado mediante ingeniería social o tan insidiosas como la de ser chantajeado o sobornado para divulgar información.

4. Amenazas de terceros - Partes externas con acceso a las redes y a la información de una organización. Estas amenazas internas pueden darse en forma de un contratista que utilice las credenciales de acceso a la empresa para obtener y compartir información sensible o propiedad intelectual por varias razones.

5. Amenazas colusorias - Las amenazas colusorias se producen cuando un actor interno conspira con una entidad externa para comprometer los activos de la organización. Estas amenazas pueden implicar que los empleados sean sobornados, chantajeados o reclutados voluntariamente por actores externos, como grupos de ciberdelincuentes, para obtener acceso no autorizado a sistemas o datos críticos.

Comprender las amenazas internas intencionadas

Mientras que muchos incidentes internos son accidentales, las amenazas internas intencionadas son acciones deliberadas impulsadas por motivos personales, ideología o incentivos financieros. Estos infiltrados saben cómo evadir los controles, lo que dificulta su detección mediante las defensas tradicionales.

Los iniciados intencionadamente pueden:

• Filtrar propiedad intelectual a competidores o al público.
• Vender credenciales a terceros o a la web oscura.
• Borrar o corromper archivos como acto de represalia.
• Explotar el acceso al sistema antes o después de abandonar la organización.

En algunos casos, los agentes externos coaccionan o chantajean a los iniciados para que lleven a cabo un ataque interno, lo que difumina la línea que separa la intención maliciosa de la manipulación. Detectar y prevenir estas acciones requiere tanto visibilidad tecnológica como una comprensión de los patrones de comportamiento de los empleados.

Individuos con amenazas internas

Los actores de amenazas internas pueden variar ampliamente en su intención, comportamiento e impacto. Mientras que algunos plantean riesgos accidentales, otros buscan deliberadamente causar daño. Comprender a estas personas puede ayudar a las organizaciones a detectar, clasificar y responder mejor a las amenazas internas.

Peones

Los peones suelen ser empleados bienintencionados a los que se manipula para que permitan las amenazas. Pueden descargar malware sin saberlo, hacer clic en enlaces de phishing o revelar credenciales de inicio de sesión a atacantes que se hacen pasar por contactos de confianza. Estas personas suelen ser víctimas de la ingeniería social y no son conscientes del papel que están desempeñando en un ataque más amplio.

Turncloaks

Los tránsfugas son personas de dentro que actúan intencionadamente en contra de los intereses de la organización. Motivados por el beneficio personal, el resentimiento o la ideología, estos individuos pueden filtrar datos, borrar archivos críticos o sabotear sistemas. Esta categoría también puede incluir a los denunciantes: empleados que sacan a la luz actividades poco éticas o ilegales dentro de la empresa. Aunque sus motivaciones pueden ser diferentes, las implicaciones para la seguridad son a menudo significativas.

Ejemplos reales de amenazas internas

Las amenazas internas pueden parecer alarmantes en teoría, pero son aún más peligrosas en la vida real. He aquí algunos ejemplos de amenazas internas:

• En 2022, Yahoo demandó a un antiguo científico investigador que robó código fuente patentado sobre su producto AdLearn. Minutos después de recibir una oferta de trabajo de un competidor, el empleado descargó aproximadamente 570.000 páginas de propiedad intelectual (PI) de Yahoo en sus dispositivos personales, a sabiendas de que la información podría beneficiarle en su nuevo trabajo. En la demanda, Yahoo alegó que los datos robados darían a sus competidores una inmensa ventaja.
• En 2020, Stradis Healthcare despidió al empleado Christopher Dobbins quien, actuando entonces como venganza, penetró en la red de la empresa. Una vez dentro, se dio a sí mismo acceso de administrador y editó o borró más de 120.000 registros, retrasando los envíos de EPI durante meses.
• En 2020, el ex ejecutivo de Google Anthony Scott Levandowski robó secretos comerciales del departamento de coches autoconducidos de la compañía y se los llevó a su nuevo trabajo en Uber. Levandowski admitió que Google podría haber perdido hasta 1.500.000 dólares debido a su robo.

Estos son sólo tres ejemplos de amenazas internas reales que se producen cada año y que causan graves daños financieros y de reputación.

Indicadores técnicos de amenazas internas

Con tantas formas de que surjan las amenazas internas, la mejor manera de detectarlas y, en última instancia, desviarlas es buscar movimientos de datos y señales digitales consistentes.

Los actores de amenazas internas pueden dejar un rastro de actividades o características que sugieran que los datos corporativos corren un mayor riesgo de exposición o exfiltración. Aunque cada uno de los indicadores siguientes puede ser benigno por sí solo, una combinación de ellos puede aumentar la prioridad de los sucesos de pérdida de datos, lo que deja más claro que se está produciendo una amenaza interna:

• Exfiltración de archivos zip
• Adjunto enviado a través de ProtonMail
• Movimiento de datos corporativos a versiones personales de aplicaciones aprobadas
• Acceder a información que no es relevante para su función laboral
• Picos en los intentos de exfiltración de datossalientes
• Traslados aéreos
• Renombrar archivos cuya extensión no coincide con el contenido
• Instalación de hardware, software o malware

Estar atento a estas señales puede ayudar a los equipos de seguridad a detectar actividades inusuales y detener las amenazas internas antes de que se conviertan en una brecha.

Algunos proveedores de ciberseguridad pueden sugerir vigilar el comportamiento de los empleados -especialmente en busca de acciones que muestren que están descontentos o insatisfechos- para detectar una amenaza interna, pero esto suele ser improductivo.

Cómo detectar los ataques de amenazas internas

Una empresa puede utilizar tanto la visión humana como la tecnológica para detectar las amenazas internas. Dado que el personal de una organización suele tener contacto directo con sus compañeros, es probable que sea el primero en detectar comportamientos sospechosos. Para mejorar la detección de amenazas internas, las organizaciones también pueden emplear soluciones de software que supervisen la actividad de los usuarios, la gestión de accesos y el análisis del comportamiento.

El reto de detener las amenazas internas

Mientras que las organizaciones se han centrado durante mucho tiempo en impedir que los piratas informáticos ajenos a la organización vulneren las defensas de seguridad, la mayoría tiene poca protección contra una amenaza interna.

Existen al menos tres tipos de perfiles de amenazas internas. Con una Amenaza Interna Maliciosa, un empleado dentro de la organización busca a propósito robar datos, filtrar información o dañar de cualquier otra forma a la organización. Una amenaza interna por descuido se produce cuando los empleados no entienden las políticas de seguridad o no siguen las normas de seguridad, poniendo a la organización en riesgo de infecciones de malware y fugas de datos. Y la Amenaza Interna Comprometida implica a un empleado cuya cuenta de correo electrónico ha sido tomada por un pirata informático a través de la recolección de credenciales, ingeniería social, correos electrónicos de phishing o malware con el fin de robar información o realizar transacciones financieras fraudulentas.

Casi todas las amenazas internas tienen que ver con el correo electrónico. Los mensajes de correo electrónico son con frecuencia el origen de los ataques: los mensajes que contienen archivos adjuntos y URL maliciosos son una técnica habitual para lanzar amenazas persistentes avanzadas y otros ataques. Y el correo electrónico suele estar implicado en fugas de datos, ya sean malintencionadas o involuntarias. Para defenderse de una amenaza interna, las organizaciones necesitan una detección de amenazas internas para el correo electrónico interno que pueda identificar y remediar rápidamente un ataque o una fuga de datos. Ahí es donde Mimecast puede ayudarle.

Cómo protegerse contra las amenazas internas

Si bien es cierto que la alta dirección y los equipos de seguridad pueden estar atentos a los indicadores digitales y de comportamiento, ése no debería ser el único método de protección de una empresa. En su lugar, deben enfocar su programa de amenazas internas desde tres perspectivas: establecer el comportamiento normal de los usuarios, identificar y proteger los activos críticos y mitigar el riesgo.

Además, proporcionar una formación continua a los empleados mantendrá la seguridad en lo más alto de la mente y creará una cultura en torno a la seguridad.

Crear una base de referencia de la actividad de confianza

Necesita saber cuáles son las actividades de confianza antes de poder detectar un movimiento de acceso a datos arriesgado. Su software de ciberseguridad óptimo tendrá funciones integradas que establezcan e infieran una línea de base de la actividad de acceso a datos de confianza para utilizarla como comparación al rastrear el movimiento diario de datos.

La actividad de interés podría ser los métodos de autenticación, los tiempos de acceso y los registros VPN. Su sistema de ciberseguridad debe alertar a los equipos de seguridad cuando aparezcan anomalías para que puedan revisarlas y determinar si se trata, de hecho, de posibles amenazas internas.

Obtenga visibilidad de todos sus datos y su movimiento

Puede que haya oído hablar de proteger sus activos más críticos, pero es más fácil y eficaz tratar todos los datos como esenciales y supervisar su movimiento en consecuencia.

La exposición involuntaria de datos se produce hasta 34 veces por usuario cada día, por lo que proteger todos los datos como si fueran críticos ayuda a minimizar el riesgo de mover accidentalmente información sensible y crear una situación para el robo de IP.

Asegúrese de que los empleados sepan que supervisar el movimiento de datos a lugares no fiables no es lo mismo que vigilar. En lugar de rastrear las pulsaciones del teclado, hacer fotos de las pantallas, vigilar el rendimiento u otras actividades invasivas, el hecho de que una empresa vigile los datos que posee redunda en beneficio de los empleados y de la empresa, ya que protege la innovación y la ventaja competitiva.

Gestionar la amenaza interna abordando el riesgo

El Informe 2023 sobre la exposición a los datos, elaborado por Code42 (ahora parte de Mimecast), reveló que los CISO clasifican el riesgo interno como la amenaza más difícil de detectar dentro de sus organizaciones. El riesgo de información privilegiada es la exposición de datos que pone en peligro el bienestar de una organización y de sus empleados, clientes o socios.

En lugar de buscar una aguja en un pajar y a esa única persona que constituye una amenaza interna, considere la posibilidad de aplicar una estrategia moderna de protección de datos mediante la supervisión de las actividades que ponen en peligro la información sensible. Este enfoque le prepara para responder a cualquier posible violación de datos, independientemente de la intención que haya detrás.

Ejecutar la protección de datos no consiste en vigilar a los empleados o esperar a que cometan un desliz. Se trata de supervisar los cambios y el movimiento de los datos, buscar indicadores de riesgo y priorizar ese riesgo. En función de la prioridad, puede tomar medidas rápidamente para contener los daños y evitar una brecha.

La forma más rápida de descubrir los riesgos internos es con la ayuda de un software inteligente. A diferencia de los humanos, las herramientas basadas en la IA pueden supervisar continuamente los sistemas de una empresa y sacar a la luz riesgos que quizá usted ni siquiera perciba. Las mejores plataformas escanean todos los sistemas en busca de vulnerabilidades, lo que permite a los equipos de seguridad parchearlas rápidamente.

Formar a los empleados y crear una cultura de seguridad

Otro componente de la protección de datos es la formación continua de los empleados. La formación centrada en las mejores prácticas de seguridad y en el "por qué" de las políticas puede beneficiar a un equipo. Recordar a los empleados por qué existen las políticas puede reducir la evasión de la seguridad. Mantener las mejores prácticas en mente combate la negligencia y anima a los empleados a establecer buenos comportamientos que sigan los protocolos de la empresa.

Al hacer hincapié en la importancia de la ciberseguridad en toda la empresa, las empresas crean una cultura que da valor a la seguridad y a la gestión de riesgos que, en última instancia, puede conducir a un menor número de amenazas internas.

Prevenga una amenaza interna con Mimecast

Mimecast proporciona servicios basados en la nube para la seguridad, la continuidad y el archivado del correo electrónico, gestionados desde un único panel de cristal, que ayudan a reducir el coste y la complejidad de la protección frente a amenazas avanzadas.

Para detectar y prevenir una amenaza interna, Mimecast ofrece Internal Email Protect, un servicio de supervisión y corrección de amenazas para el correo electrónico generado internamente. Como parte de la oferta de seguridad del correo electrónico de Mimecast, este programa contra amenazas internas le permite supervisar, detectar y mitigar las amenazas a la seguridad del correo electrónico que se originan dentro de su organización.

Internal Email Protect analiza todo el correo electrónico junto con los archivos adjuntos y las URL para identificar malware y enlaces maliciosos. Mimecast también puede detectar una amenaza interna con el filtrado de contenidos para aplicar los servicios de prevención de fuga de datos.

Protéjase contra las amenazas internas con Mimecast Incydr

Desde dañar la reputación de una empresa ante los clientes hasta despojarla de financiación o exponer innovaciones patentadas, las amenazas internas pueden tener consecuencias devastadoras. Parte de la razón por la que la protección contra las amenazas internas es un reto se debe a que el software DLP heredado tiene una visión aislada del movimiento de datos, pasando por alto docenas de exfiltraciones amenazadoras. En lugar de adivinar qué exfiltración es una amenaza, considere un enfoque moderno de la protección de datos.

Mimecast Incydr es una solución inteligente de protección de datos que identifica los movimientos de datos de riesgo -no sólo las exfiltraciones que la seguridad ha clasificado- ayudándole a ver y detener las posibles amenazas internas. Incydr detecta automáticamente las fugas de datos a aplicaciones en la nube que no son de confianza, bloquea las exfiltraciones inaceptables y adapta la respuesta de seguridad en función del infractor y del delito. A los empleados que cometen errores de seguridad se les envía automáticamente formación educativa para corregir el comportamiento del usuario y reducir con el tiempo el riesgo de amenazas internas.