Temas técnicos

¿Qué es un Insider Threat?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Una amenaza interna se refiere a un riesgo de ciberseguridad que se origina dentro de una organización. Suele producirse cuando un empleado, contratista, proveedor o socio actual o anterior con credenciales de usuario legítimas hace un uso indebido de su acceso en detrimento de las redes, los sistemas y los datos de la organización. Una amenaza interna puede ejecutarse de forma intencionada o no intencionada. Independientemente de la intención, el resultado final es poner en peligro la confidencialidad, disponibilidad y/o integridad de los sistemas y datos de la empresa.

Las amenazas internas son la causa de la mayoría de las violaciones de datos. Las estrategias, políticas, procedimientos y sistemas de ciberseguridad tradicionales suelen centrarse en las amenazas externas, dejando a la organización vulnerable a los ataques desde dentro. Dado que el intruso ya tiene autorización válida para acceder a datos y sistemas, a los profesionales de la seguridad y a las aplicaciones les resulta difícil distinguir entre actividad normal y dañina.

Los intrusos maliciosos tienen una clara ventaja sobre otras categorías de atacantes maliciosos debido a su familiaridad con los sistemas, procesos, procedimientos, políticas y usuarios de la empresa. Conocen perfectamente las versiones de los sistemas y sus vulnerabilidades. Por tanto, las organizaciones deben hacer frente a las amenazas internas con el mismo rigor que a las externas.

Buenas prácticas de prevención de amenazas internas

Comprenda la anatomía de las amenazas internas. Aprenda de los expertos del sector y de sus compañeros cómo burlar a sus adversarios con el programa de prevención adecuado.

Más información

Tipos de amenazas internas

Amenazas internas maliciosas

También denominadas "turn-cloak", los principales objetivos de las amenazas internas maliciosas incluyen el espionaje, el fraude, el robo de propiedad intelectual y el sabotaje. Abusan intencionadamente de su acceso privilegiado para robar información o degradar los sistemas por motivos financieros, personales y/o malintencionados. Algunos ejemplos son un empleado que vende datos confidenciales a un competidor o un antiguo contratista descontento que introduce malware debilitador en la red de la organización.

Las amenazas internas maliciosas pueden ser colaboradores o lobos solitarios.

Colaborador

Los colaboradores son usuarios autorizados que trabajan con un tercero para perjudicar intencionadamente a la organización. El tercero puede ser un competidor, un Estado-nación, una red de delincuencia organizada o un particular. La acción del colaborador provocaría la filtración de información confidencial o la interrupción de las operaciones empresariales.

Lobo solitario

Los lobos solitarios operan de forma totalmente independiente y actúan sin manipulaciones ni influencias externas. Pueden ser especialmente peligrosos porque suelen tener acceso privilegiado al sistema, como los administradores de bases de datos.

Amenazas internas por descuido

Las amenazas a la seguridad internas por descuido se producen de forma inadvertida. A menudo son el resultado de errores humanos, falta de juicio, complicidad involuntaria, conveniencia, phishing (y otras tácticas de ingeniería social), malware y credenciales robadas. La persona implicada expone sin saberlo los sistemas de la empresa a ataques externos.

Las amenazas internas descuidadas pueden ser peones o pifias.

Empeño

Los peones son usuarios autorizados que han sido manipulados para actuar maliciosamente de forma involuntaria, a menudo mediante técnicas de ingeniería social como el spear phishing. Estos actos involuntarios pueden incluir la descarga de malware en su ordenador o la revelación de información confidencial a un impostor.

Goof

Los Goofs realizan deliberadamente acciones potencialmente dañinas pero no albergan ninguna intención maliciosa. Son usuarios arrogantes, ignorantes y/o incompetentes que no reconocen la necesidad de seguir las políticas y procedimientos de seguridad. Un "goof" puede ser un usuario que almacena información confidencial de un cliente en su dispositivo personal, aun sabiendo que va en contra de la política de la organización.

Un topo

Un topo es una persona ajena a la organización, pero que ha obtenido acceso interno a sus sistemas. Puede hacerse pasar por un proveedor, socio, contratista o empleado, obteniendo así una autorización privilegiada a la que de otro modo no tendría derecho.

Cómo detectar a un Insider Threat

La mayoría de las herramientas de inteligencia sobre amenazas se centran en el análisis de los datos de la red, los ordenadores y las aplicaciones, prestando escasa atención a las acciones de las personas autorizadas que podrían hacer un uso indebido de su acceso privilegiado. Para una ciberdefensa segura frente a una amenaza interna, hay que vigilar las conductas y actividades digitales anómalas.

Indicadores de comportamiento

Hay diferentes indicadores de una amenaza interna a los que hay que prestar atención, entre ellos:

  • Un empleado, contratista, proveedor o socio insatisfecho o descontento.
  • Intentos de burlar la seguridad.
  • Trabajar regularmente fuera del horario laboral.
  • Muestra resentimiento hacia sus compañeros de trabajo.
  • Violación sistemática de las políticas de la organización.
  • Contemplar la dimisión o discutir nuevas oportunidades.

Indicadores digitales

  • Iniciar sesión en las aplicaciones y redes de la empresa a horas inusuales. Por ejemplo, un empleado que inicia sesión en la red a las 3 de la madrugada sin que nadie se lo pida puede ser motivo de preocupación.
  • Aumento del volumen de tráfico en la red. Si alguien está intentando copiar grandes cantidades de datos a través de la red, verás picos inusuales en el tráfico de red.
  • Acceder a recursos a los que normalmente no acceden o a los que no están autorizados.
  • Acceder a datos que no son relevantes para su función laboral.
  • Solicitudes reiteradas de acceso a recursos del sistema no pertinentes para su función laboral.
  • Utilizar dispositivos no autorizados, como unidades USB.
  • Rastreo de la red y búsqueda deliberada de información sensible.
  • Envío de información sensible por correo electrónico fuera de la organización.

Cómo protegerse contra los ataques internos

Puede proteger los activos digitales de su organización frente a una amenaza interna. He aquí cómo.

Proteger los activos críticos

Identifique los activos lógicos y físicos críticos de su organización. Entre ellos se incluyen redes, sistemas, datos confidenciales (como información sobre clientes, datos de empleados, esquemas y planes estratégicos detallados), instalaciones y personas. Comprenda cada activo crítico, clasifíquelos por orden de prioridad y determine el estado actual de la protección de cada uno de ellos. Naturalmente, los activos de mayor prioridad deben recibir el mayor nivel de protección frente a las amenazas internas.

Crear una base de referencia del comportamiento normal de los usuarios y los dispositivos

Hay muchos sistemas de software diferentes que pueden rastrear las amenazas internas. Estos sistemas funcionan centralizando primero la información sobre la actividad de los usuarios a partir de los registros de acceso, autenticación, cambio de cuentas, puntos finales y redes privadas virtuales (VPN). Utiliza estos datos para modelar y asignar puntuaciones de riesgo al comportamiento del usuario vinculado a eventos específicos, como la descarga de datos confidenciales a soportes extraíbles o el inicio de sesión de un usuario desde una ubicación inusual. Cree una línea de base del comportamiento normal para cada usuario y dispositivo, así como para la función y el cargo. Con esta línea de base, las desviaciones pueden marcarse e investigarse.

Aumentar la visibilidad

Es importante desplegar herramientas que supervisen continuamente la actividad de los usuarios, así como agregar y correlacionar información sobre la actividad procedente de múltiples fuentes. Por ejemplo, puede utilizar soluciones de ciberengaño que establezcan trampas para atraer a los intrusos malintencionados, seguir sus acciones y comprender sus intenciones. Esta información se incorporaría a otras soluciones de seguridad de la empresa para identificar o prevenir ataques actuales o futuros.

Aplicar las políticas

Defina, documente y difunda las políticas de seguridad de la organización. De este modo se evita la ambigüedad y se sientan las bases adecuadas para su aplicación. Ningún empleado, contratista, proveedor o socio debe tener dudas sobre cuál es el comportamiento aceptable en relación con la postura de seguridad de su organización. Deben reconocer su responsabilidad de no divulgar información privilegiada a partes no autorizadas.

Promover cambios culturales

Aunque detectar las amenazas internas es importante, es más prudente y menos costoso disuadir a los usuarios de comportamientos caprichosos. En este sentido, es fundamental promover un cambio cultural y una transformación digital que tengan en cuenta la seguridad. Inculcar las creencias y actitudes adecuadas puede ayudar a combatir la negligencia y abordar las raíces del comportamiento malicioso. Los empleados y otras partes interesadas deben participar regularmente en actividades de formación y concienciación en materia de seguridad que les eduquen al respecto, lo que debe ir acompañado de la medición y mejora continuas de la satisfacción de los empleados para detectar señales tempranas de descontento.

Soluciones de detección de amenazas internas

Las amenazas internas son más difíciles de identificar y prevenir que los ataques externos. A menudo quedan fuera del radar de las soluciones de ciberseguridad convencionales, como cortafuegos, sistemas de detección de intrusiones y software antimalware. Si un atacante se conecta a través de un identificador de usuario, una contraseña, una dirección IP y un dispositivo autorizados, es poco probable que active ninguna alarma de seguridad. Para proteger eficazmente sus activos digitales, necesita un software y una estrategia de detección de amenazas internas que combinen múltiples herramientas para supervisar el comportamiento interno y minimizar al mismo tiempo el número de falsos positivos.

Información privilegiada Threat

Empiece hoy mismo.

Más información

Notas a pie de página