Temas técnicos

¿Qué es una amenaza interna?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

Una amenaza interna se refiere a un riesgo de ciberseguridad que se origina dentro de una organización. Suele producirse cuando un empleado, contratista, proveedor o socio actual o anterior con credenciales de usuario legítimas hace un uso indebido de su acceso en detrimento de las redes, los sistemas y los datos de la organización. Una amenaza interna puede ejecutarse de forma intencionada o no intencionada. Independientemente de la intención, el resultado final es poner en peligro la confidencialidad, disponibilidad y/o integridad de los sistemas y datos de la empresa.

Las amenazas internas son la causa de la mayoría de las violaciones de datos. Las estrategias, políticas, procedimientos y sistemas de ciberseguridad tradicionales suelen centrarse en las amenazas externas, dejando a la organización vulnerable a los ataques desde dentro. Dado que el intruso ya tiene autorización válida para acceder a datos y sistemas, a los profesionales de la seguridad y a las aplicaciones les resulta difícil distinguir entre actividad normal y dañina.

Los intrusos maliciosos tienen una clara ventaja sobre otras categorías de atacantes maliciosos debido a su familiaridad con los sistemas, procesos, procedimientos, políticas y usuarios de la empresa. Conocen perfectamente las versiones de los sistemas y sus vulnerabilidades. Por tanto, las organizaciones deben hacer frente a las amenazas internas con el mismo rigor que a las externas.

Buenas prácticas de prevención de amenazas internas

Comprenda la anatomía de las amenazas internas. Aprenda de los expertos del sector y de sus compañeros cómo burlar a sus adversarios con el programa de prevención adecuado.

Más información

Tipos de amenazas internas

Amenazas internas maliciosas

También denominadas "turn-cloak", los principales objetivos de las amenazas internas maliciosas incluyen el espionaje, el fraude, el robo de propiedad intelectual y el sabotaje. Abusan intencionadamente de su acceso privilegiado para robar información o degradar los sistemas por motivos financieros, personales y/o malintencionados. Algunos ejemplos son un empleado que vende datos confidenciales a un competidor o un antiguo contratista descontento que introduce malware debilitador en la red de la organización.

Las amenazas internas maliciosas pueden ser colaboradores o lobos solitarios.

Colaborador

Los colaboradores son usuarios autorizados que trabajan con un tercero para perjudicar intencionadamente a la organización. El tercero puede ser un competidor, un Estado-nación, una red de delincuencia organizada o un particular. La acción del colaborador provocaría la filtración de información confidencial o la interrupción de las operaciones empresariales.

Lobo solitario

Los lobos solitarios operan de forma totalmente independiente y actúan sin manipulaciones ni influencias externas. Pueden ser especialmente peligrosos porque suelen tener acceso privilegiado al sistema, como los administradores de bases de datos.

Amenazas internas por descuido

Las amenazas a la seguridad internas por descuido se producen de forma inadvertida. A menudo son el resultado de errores humanos, falta de juicio, complicidad involuntaria, conveniencia, phishing (y otras tácticas de ingeniería social), malware y credenciales robadas. La persona implicada expone sin saberlo los sistemas de la empresa a ataques externos.

Las amenazas internas descuidadas pueden ser peones o pifias.

Empeño

Los peones son usuarios autorizados que han sido manipulados para actuar maliciosamente de forma involuntaria, a menudo mediante técnicas de ingeniería social como el spear phishing. Estos actos involuntarios pueden incluir la descarga de malware en su ordenador o la revelación de información confidencial a un impostor.

Goof

Los Goofs realizan deliberadamente acciones potencialmente dañinas pero no albergan ninguna intención maliciosa. Son usuarios arrogantes, ignorantes y/o incompetentes que no reconocen la necesidad de seguir las políticas y procedimientos de seguridad. Un "goof" puede ser un usuario que almacena información confidencial de un cliente en su dispositivo personal, aun sabiendo que va en contra de la política de la organización.

Un topo

Un topo es una persona ajena a la organización, pero que ha obtenido acceso interno a sus sistemas. Puede hacerse pasar por un proveedor, socio, contratista o empleado, obteniendo así una autorización privilegiada a la que de otro modo no tendría derecho.

Cómo detectar una amenaza interna

La mayoría de las herramientas de inteligencia sobre amenazas se centran en el análisis de los datos de la red, los ordenadores y las aplicaciones, prestando escasa atención a las acciones de las personas autorizadas que podrían hacer un uso indebido de su acceso privilegiado. Para una ciberdefensa segura frente a una amenaza interna, hay que vigilar las conductas y actividades digitales anómalas.

Indicadores de comportamiento

Hay diferentes indicadores de una amenaza interna a los que hay que prestar atención, entre ellos:

Un empleado, contratista, proveedor o socio insatisfecho o descontento.
Intentos de burlar la seguridad.
Trabajar regularmente fuera del horario laboral.
Muestra resentimiento hacia sus compañeros de trabajo.
Violación sistemática de las políticas de la organización.
Contemplar la dimisión o discutir nuevas oportunidades.

Indicadores digitales

Iniciar sesión en las aplicaciones y redes de la empresa a horas inusuales. Por ejemplo, un empleado que inicia sesión en la red a las 3 de la madrugada sin que nadie se lo pida puede ser motivo de preocupación.
Aumento del volumen de tráfico en la red. Si alguien está intentando copiar grandes cantidades de datos a través de la red, verás picos inusuales en el tráfico de red.
Acceder a recursos a los que normalmente no acceden o a los que no están autorizados.
Acceder a datos que no son relevantes para su función laboral.
Solicitudes reiteradas de acceso a recursos del sistema no pertinentes para su función laboral.
Utilizar dispositivos no autorizados, como unidades USB.
Rastreo de la red y búsqueda deliberada de información sensible.
Envío de información sensible por correo electrónico fuera de la organización.

Cómo protegerse contra los ataques internos

Puede proteger los activos digitales de su organización frente a una amenaza interna. He aquí cómo.

Proteger los activos críticos

Identifique los activos lógicos y físicos críticos de su organización. Entre ellos se incluyen redes, sistemas, datos confidenciales (como información sobre clientes, datos de empleados, esquemas y planes estratégicos detallados), instalaciones y personas. Comprenda cada activo crítico, clasifíquelos por orden de prioridad y determine el estado actual de la protección de cada uno de ellos. Naturalmente, los activos de mayor prioridad deben recibir el mayor nivel de protección frente a las amenazas internas.

Crear una base de referencia del comportamiento normal de los usuarios y los dispositivos

Hay muchos sistemas de software diferentes que pueden rastrear las amenazas internas. Estos sistemas funcionan centralizando primero la información sobre la actividad de los usuarios a partir de los registros de acceso, autenticación, cambio de cuentas, puntos finales y redes privadas virtuales (VPN). Utiliza estos datos para modelar y asignar puntuaciones de riesgo al comportamiento del usuario vinculado a eventos específicos, como la descarga de datos confidenciales a soportes extraíbles o el inicio de sesión de un usuario desde una ubicación inusual. Cree una línea de base del comportamiento normal para cada usuario y dispositivo, así como para la función y el cargo. Con esta línea de base, las desviaciones pueden marcarse e investigarse.

Aumentar la visibilidad

Es importante desplegar herramientas que supervisen continuamente la actividad de los usuarios, así como agregar y correlacionar información sobre la actividad procedente de múltiples fuentes. Por ejemplo, puede utilizar soluciones de ciberengaño que establezcan trampas para atraer a los intrusos malintencionados, seguir sus acciones y comprender sus intenciones. Esta información se incorporaría a otras soluciones de seguridad de la empresa para identificar o prevenir ataques actuales o futuros.

Aplicar las políticas

Defina, documente y difunda las políticas de seguridad de la organización. De este modo se evita la ambigüedad y se sientan las bases adecuadas para su aplicación. Ningún empleado, contratista, proveedor o socio debe tener dudas sobre cuál es el comportamiento aceptable en relación con la postura de seguridad de su organización. Deben reconocer su responsabilidad de no divulgar información privilegiada a partes no autorizadas.

Promover cambios culturales

Aunque detectar las amenazas internas es importante, es más prudente y menos costoso disuadir a los usuarios de comportamientos caprichosos. En este sentido, es fundamental promover un cambio cultural y una transformación digital que tengan en cuenta la seguridad. Inculcar las creencias y actitudes adecuadas puede ayudar a combatir la negligencia y abordar las raíces del comportamiento malicioso. Los empleados y otras partes interesadas deben participar regularmente en actividades de formación y concienciación en materia de seguridad que les eduquen al respecto, lo que debe ir acompañado de la medición y mejora continuas de la satisfacción de los empleados para detectar señales tempranas de descontento.

Soluciones de detección de amenazas internas

Las amenazas internas son más difíciles de identificar y prevenir que los ataques externos. A menudo quedan fuera del radar de las soluciones de ciberseguridad convencionales, como cortafuegos, sistemas de detección de intrusiones y software antimalware. Si un atacante se conecta a través de un identificador de usuario, una contraseña, una dirección IP y un dispositivo autorizados, es poco probable que active ninguna alarma de seguridad. Para proteger eficazmente sus activos digitales, necesita un software y una estrategia de detección de amenazas internas que combinen múltiples herramientas para supervisar el comportamiento interno y minimizar al mismo tiempo el número de falsos positivos.

Amenaza interna

Empiece hoy mismo.

Más información

Recursos

OpenText™ Ciberseguridad en LinkedIn

Centro de prevención de amenazas internas

DestacadosDestacados

Analytics CloudAnalytics Cloud

Base de datos analíticaBase de datos analítica

Análisis de datos no estructuradosAnálisis de datos no estructurados

Inteligencia de negocio e informesInteligencia de negocio e informes

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Búsqueda empresarialBúsqueda empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integración de la cadena de suministroIntegración de la cadena de suministro

Servicios de integración B2BServicios de integración B2B

Colaboración en el ecosistemaColaboración en el ecosistema

Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Integraciones empresarialesIntegraciones empresariales

Captura y procesamiento inteligente de documentosCaptura y procesamiento inteligente de documentos

Information ArchivingInformation Archiving

Automatización de procesosAutomatización de procesos

Gobernanza de la informaciónGobernanza de la información

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Identity and Access ManagementIdentity and Access Management

Protección de datosProtección de datos

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Inteligencia sobre amenazasInteligencia sobre amenazas

Detección de amenazas y respuestaDetección de amenazas y respuesta

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentación técnicaDeveloper Cloud documentación técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Pruebas funcionalesPruebas funcionales

Ingeniería de rendimientoIngeniería de rendimiento

DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y de marcaExperiencias web y de marca

MensajeríaMensajería

Recorrido del cliente y datosRecorrido del cliente y datos

Media ManagementMedia Management

Análisis de Contact CenterAnálisis de Contact Center

Experience Aviator

IT Operations CloudIT Operations Cloud

Gestión de serviciosGestión de servicios

FinOpsFinOps

AIOps y observabilidadAIOps y observabilidad

AutomatizaciónAutomatización

Gestión de redesGestión de redes

IT Operations Aviator

PortfolioPortfolio

Protección de datos y copia de seguridad de terminalesProtección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvilGestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipoTrabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datosArchivado, eDiscovery y seguridad de los datos

La información reimaginadaLa información reimaginada

Inteligencia artificialInteligencia artificial

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

BlogsBlogs

EventosEventos

Destacados

Analytics Cloud

Base de datos analítica

Análisis de datos no estructurados

Inteligencia de negocio e informes

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Búsqueda empresarial

Business Network Cloud

Integración de la cadena de suministro

Servicios de integración B2B

Colaboración en el ecosistema

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Integraciones empresariales

Captura y procesamiento inteligente de documentos

Information Archiving

Automatización de procesos

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Identity and Access Management

Protección de datos

Investigaciones y análisis forenses digitales

Inteligencia sobre amenazas

Detección de amenazas y respuesta

Developer Cloud

Information Management Services

Developer Cloud documentación técnica

DevOps Cloud

Plataforma DevOps

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Pruebas funcionales

Ingeniería de rendimiento

Experience Cloud

Experiencias web y de marca

Mensajería

Recorrido del cliente y datos

Media Management

Análisis de Contact Center

IT Operations Cloud

Gestión de servicios

FinOps

AIOps y observabilidad

Automatización

Gestión de redes

Portfolio

Protección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datos

La información reimaginada

Inteligencia artificial

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navigator