La evolución de la tecnología, de las conexiones, la llegada del teletrabajo…, son algunas de las razones que hacen necesario adoptar un nuevo enfoque de la ciberseguridad en las organizaciones, uno que no solo mire hacia el exterior, sino también hacia el interior para poder detectar posibles riesgos. En este artículo vamos a hablar de las amenazas internas en ciberseguridad y de la importancia de tenerlas en cuenta a la hora de elaborar cualquier plan de ciberseguridad.
En este artículo hablamos de:
¿Qué es una amenaza interna en ciberseguridad?
Una amenaza interna en ciberseguridad es el riesgo informático que proviene desde el interior de la propia organización. También conocidas como insiders, pueden tener su origen en empleados con acceso legítimo a los activos de la empresa, tanto actuales como pasados, contratistas, socios comerciales o proveedores.
A diferencia de otros tipos de amenazas informáticas externas, las soluciones de ciberseguridad son insuficientes para poder prevenir las amenazas internas, puesto que estas ya están dentro del propio perímetro, y las soluciones de seguridad todavía ponen la mayor parte de su foco en evitar el acceso no autorizado desde el exterior. Esto hace que los ataques internos o de insiders sean más difíciles de detectar y prevenir.
Tipos de amenazas internas o insiders
Ahora que ya tenemos una definición de qué es un insider en ciberseguridad, veamos entre qué tipos podemos diferenciar.
Las amenazas internas en informática se pueden dividir en tres tipos diferentes, dependiendo de la motivación y los fines de quienes llevan a cabo el ataque o lo facilitan.
Usuarios negligentes (insiders involuntarios)
Los insiders negligentes son aquellos empleados, contratistas, socios comerciales o proveedores que por descuido o por error no intencionado, crean brechas de seguridad por las que se filtra información confidencial o la ponen en riesgo sin darse cuenta, como por ejemplo, facilitando la instalación de alguno de los tipos de malware existente al haber descargado un archivo malicioso sin ser consciente de ello o al dejar si supervisión un equipo portátil con acceso a información confidencial.
Infiltrados
Los insiders infiltrados o maliciosos son aquellos que abusan de su privilegio de acceso para exfiltrar o robar datos y usarlos bien para obtener alguna clase de beneficio personal o económico (por ejemplo, al venderlos a la competencia o hacer daño a la empresa por algún agravio que él considere que esta le ha causado).
Estas amenazas internas en una empresa pueden poner en marcha diferentes tipos de ciberataques, desde transferir información confidencial, alterar archivos, instalar o facilitar la instalación de amenazas persistentes avanzadas, sabotear los sistemas, la red o las bases de datos, etc. Cuando mayor sea el nivel de acceso de estos insiders, mayor daño podrán causar.
Ladrones de credenciales
Los ladrones de credenciales son aquellos que utilizan herramientas o técnicas, como la ingeniería social, para hacerse con usuarios y contraseñas de miembros de la organización con un nivel de acceso alto, que les permitan acceder a todos los sistemas y red de la organización.
Cómo detectar amenazas internas
Ya sabemos qué es un ataque insider, pero ¿cómo podemos detectarlos antes de que se produzcan?
Aunque generalmente y, como decíamos al comienzo de este artículo, la mayoría de soluciones de seguridad tradicionales tienen como objetivo proteger los sistemas y redes de la entrada de intrusos, existen ya medidas de seguridad herramientas que pueden ayudar en la detección de amenazas internas, especialmente aquellas que se apoyan en la inteligencia artificial y el machine learning, como por ejemplo los sistemas de análisis del comportamiento de usuarios y entidades (UEBA).
Para detectar las amenazas internas se debe monitorear la actividad de los usuarios, de manera que se puedan detectar acciones o comportamientos sospechosos, como puede ser el acceso y descargar de grandes cantidades de datos, el acceso a datos o información confidencial que no es necesaria para el desempeño de sus funciones, utilizar dispositivos de almacenamiento externo no autorizados, copiar archivos en otras ubicaciones, etc.
Políticas para prevenir las amenazas internas
Entre los consejos de seguridad para mejorar la detección y prevención de las amenazas internas, destacamos la implementación de políticas de ciberseguridad que deben partir de la dirección e implicar tanto al departamento de TI como al de Recursos Humanos. Estas políticas deben incorporar la elaboración de un plan de ciberseguridad que incluya también este tipo de amenazas y las medidas adecuadas para prevenirlas, así como para minimizar su impacto.
Entre esas medidas, está, como ya hemos señalado, la adopción de soluciones de seguridad que permitan el monitoreo de redes y del comportamiento de usuarios, ya que aparte de mantener el foco sobre las amenazas externas para evitar que vulneren el perímetro de seguridad, también lo ponemos en las amenazas internas, tanto aquellas intencionales como las que se producen por comportamiento o acciones negligentes o errores.
Otra de las medidas de seguridad que se pueden incluir en las políticas de seguridad, es implementar un modelo Zero Trust con el que reforzar la autenticación de usuarios, puesto que este modelo se basa en considerar a todo usuario una posible amenaza. Este modelo requiere de autenticación multifactor, sistemas EDR y UEBA para ser completamente efectivo.
Finalmente, las políticas de ciberseguridad deben incluir siempre la formación y concienciación de todos los miembros de la organización, hacerlos conscientes de las amenazas y tipos de ataques que pueden recibir, para que sepan reconocerlos y no acabar siendo víctimas inconscientes. Así mismo, la ciberseguridad debe formar parte de la cultura de la empresa, aplicando el principio de «seguridad desde el diseño».
Consecuencias de las amenazas internas
Las amenazas internas pueden tener consecuencias muy serias para las organizaciones, puesto que pueden provocar pérdidas económicas y reputacionales, así como la posible imposición de sanciones si las filtraciones de datos afectan a datos personales.
De acuerdo al Informe Global Sobre el Coste de las Amenazas Internas de 2020 elaborado por el Ponemon Institute, el coste de las amenazas internas superó los 11 millones de dólares (casi 10 millones de euros), lo que supuso un aumento del 31% respecto a 2018. En ese mismo período de tres años, el número de ataques por amenazas internas aumentó un 47%.
Además, las amenazas internas tardan más en detectarse y el daño que pueden causar, como consecuencia, es mayor y se tarda más en reparar. Y no solo nos referimos a filtraciones de datos o sufrir un ataque de malware con capacidad de interrumpir las operaciones de la organización (como en un ataque de ransomware), sino también en el robo de propiedad intelectual e industrial, que puede acarrear pérdidas económicas considerables.
En definitiva, las amenazas internas y externas para la ciberseguridad tienen consecuencias similares, aunque el tiempo de detección y respuesta para las primeras puede ser mayor, si no se cuenta con soluciones de seguridad orientadas a su detención.
Ejemplos de amenazas internas
Son ejemplos de amenazas internas de una empresa:
- El uso de dispositivos, aplicaciones o programas no autorizados en el centro de trabajo; se lo conoce como Shadow IT, porque a los departamentos de TI les puede resultar difícil rastrearlos. Suelen utilizarse con buenas intenciones, como aumentar la productividad, pero al no estar auditados y supervisados por la empresa, tienen el potencial de causar fugas de datos e incluso vulnerar el cumplimiento normativo.
- Los ataques de phishing y de spear phishing.
- Divulgación accidental de datos confidenciales a terceros no autorizados (como equivocarse al enviar un email con información confidencial a alguien fuera de la empresa).
- El uso de redes WiFi inseguras para conectarse a la red interna de la empresa.
- El robo de dispositivos portátiles sacados de la oficina.
Finalmente, para ilustrar la realidad de las amenazas internas, aquí tenéis algunos ejemplos reales:
- Un empleado del aeropuerto de Heathrow (Londres) perdió una memoria USB con más de 1000 archivos confidenciales en ella.
- En 2018, un empleado de Tesla hizo modificaciones al sistema de producción de la compañía y filtró a terceros una enorme cantidad de datos confidenciales, como venganza por no haber recibido un ascenso.
- Un ingeniero de seguridad de Facebook usó su posición para acceder a información confidencial y ciberacosar a varias mujeres usuarias de la plataforma.
- Un ex-empleado de Coca Cola robó un disco duro con los datos confidenciales de miles de trabajadores de la empresa.
En definitiva, ninguna organización debe descuidar o quitar importancia a las amenazas internas e implementar medidas de seguridad destinadas a proteger la organización desde dentro hacia fuera.