LA AMENAZA INTERNA O INSIDER THREAT PARA UNA ORGANIZACIÓN

Autor: José Luís Ros López

RESUMEN

El creciente aumento de ataques cibercriminales a gran escala procedente de países exóticos, paraísos fiscales y localizaciones a miles de kilómetros provoca que en ocasiones se pase por alto que eres más vulnerable a quien más te conoce. En otras, la propia compañía cree contar con un ambiente de trabajo ideal o un control total sobre si misma, optando por la negación inicial de la realidad, retrasando o incluso evitando una investigación. Así, se deja en segundo plano la figura del insider threat o de la amenaza interna, ese actor o actores que se relacionan directa o indirectamente con una organización y que la comprometen desde dentro, por razones y motivaciones tan variadas que van desde el lucro económico a la venganza.

Este articulo pretende así  realizar un Análisis de Insider Threat, tratando de generar indicadores y estrategias para su identificación y aportando ejemplos de esta casuística.

BREVE INTRODUCCIÓN Y DEFINICIÓN

Se entiende aquí amenaza interna, como aquella que aprovecha sus privilegios, conocimientos o accesos a una organización para atacar o comprometer a la misma. Así pues, se trata de una figura que conoce a la compañía o al menos parte de esta. Esto dificulta la implementación de controles o contramedidas efectivas, pues puede conocer formas de evitarlos eficazmente o directamente contar con los privilegios necesarios para evitarlos. A esto se suma el posible conocimiento de vulnerabilidades no expuestas para terceros.

Cabe señalar en este sentido que hay que distinguir entre aquellos actores u organizaciones que se ven comprometidos por negligencias, configuraciones de seguridad inadecuada o engaños variados de los que actúan de forma maliciosa en busca de algún tipo de beneficio, recompensa o venganza.

De acuerdo a estadísticas proporcionadas por Ponemon Institute los ataques de amenaza interna han crecido un 44 por ciento en los últimos dos años. Además, según un reporte elaborado por ENISA en 2019, el 40 por ciento de las asociaciones encuestadas se sienten vulnerables a una posible exposición de información confidencial. Además, en el 65 por ciento de los casos, estos ataques suponen además daños a la reputación de la empresa y a sus finanzas.

FACTORES QUE PUEDEN HACER SOSPECHAR

Una de las mayores dificultades de las amenazas internas reside en descubrir que efectivamente tu amigo es realmente tu enemigo. Las opciones son tan variadas como variadas son las situaciones en la vida real, si bien, existen algunos factores que puedes propiciar este tipo de conductas. A continuación, se exponen algunos de ejemplo:

  • Existe un mal ambiente laboral o las quejas de empleados son frecuentes.
  • Son frecuentes las malas reseñas sobre la compañía en portales de empleo. Este factor es doblemente peligroso, pues puede llamar la atención de grupos o actores cibercriminales que busquen objetivos de fácil acceso.
  • Existen trabajadores con deudas o mala situación económica por razones externas al ámbito laboral.
  • Existen antecedentes de malas prácticas por parte de empleados.
  • No existe una correcta compartimentación de la información.
  • Se identifica información expuesta cuyo origen es desconocido.

LA CONTRATACIÓN DE TRABAJADORES POR PARTE DE GRUPOS CIBERCRIMINALES

Durante los últimos años, los grupos cibercriminales han visto claro el potencial a explotar que supone un trabajador descontento o la ambición ante una recompensa a corto plazo. Las operaciones criminales se han sofisticado, y en ocasiones son costosas o requieren de un acceso inicial difícil de conseguir. Por ello es común que en foros cibercriminales se intenten comprar accesos a las empresas o se intente contratar a trabajadores de las propias compañías para que lo faciliten o rebelen vulnerabilidades existentes.

Ejemplo de ello es el caso del grupo Lapsus$ que recientemente solicitaban trabajadores de diversos sectores para ganar acceso a la compañía. Esto supone una nueva preocupación más para las compañías, pues sus empleados pueden verse tentados por actores o fuentes no consideradas por la empresa.

Existen otros muchos ejemplos, desde empleados que venden información a terceros (Amazon se vio afectada por ello), casos de secuestro de equipos de centrales nucleares para minado de Bitcoins o envío de información comprometida a terceros por error.

TENER TODA LA PROTECCIÓN DEL MUNDO NO ES SUFICIENTE EN ESTOS CASOS

Las estrategias de mitigación en estos casos pasan principalmente por el cuidado del entorno laboral, factores de doble protección o autentificación, una correcta distribución de los privilegios entre los empleados, el análisis continuado de posibles vulnerabilidades o la revisión de leaks en foros y redes entre otras muchas.

De nuevo son estrategias insuficientes ante posibles recompensas estratosféricas para aquella persona que decida afrontar las posibles consecuencias legales o que confié en no tener que hacerlo. Los delincuentes saben que en ocasiones la ingeniería social es más poderosa que cualquier otra herramienta y se aprovechan de ello, lo que genera inseguridad e incertidumbre. Quizás la amenaza interna no sea la más popular o conocida en redes y medios, pero si suele ser la más impredecible.

BIBLIOGRAFÍA

  • Cybersecurity & Infraestructure Security Agencia (CISA), (2022). Defining Insider Threats. Online. Disponible en: https://www.cisa.gov/defining-insider-threats
  • European Union Agency For Cybersecurity (ENISA), (2020). Amenazas Internas. Online. Disponible en: https://www.enisa.europa.eu/publications/report-files/ETL-translations/es/etl2020-insider-threat-ebook-en-es.pdf
  • Ponemon, (2022). 2022 Ponemon Cost of Insider Threats Global Report. Online. Disponible en: https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
  • Rossenthal Maddle, (2022). Insider Threats Examples: 17 Real Examples of Insider Threats. Tessian. Online. Disponible en:  https://www.tessian.com/blog/insider-threats-types-and-real-world-examples/