Amenazas internas de seguridad. Un riesgo creciente para las compañías

Las empresas deben tener estrategias para hacer frente no solo a los ciberataques, sino también a las amenazas internas de seguridad

La mayoría de los directivos de empresas consultados en un reciente estudio considera que las amenazas internas de seguridad son más difíciles de detectar y predecir que los ciberataques. Tal es así que solo 1 de cada 4 se mostraron confiados en que sus organizaciones pudiesen parar amenazas internas de seguridad antes de que les causaran graves daños.

Aunque ya nos hemos acostumbrado a leer diariamente información sobre nuevos ciberataques contra empresas, a las amenazas internas de seguridad no se les presta la atención que se debería.

Aun así, en los últimos meses han salido a la luz amenazas internas de seguridad que han provocado incidentes en compañías de diversos sectores.

A mediados de septiembre, la entidad financiera FinWise Bank reveló que un extrabajador accedió a sus sistemas y filtró información personal de 689.000 clientes de la plataforma American First Finance. FinWise Bank tardó un año en detectar el acceso no autorizado a la información, que se llevó a cabo gracias a que sus credenciales de acceso seguían activas.

Unos días después, un reportero del área ciber de la BBC publicó un reportaje en el que contaba cómo un grupo delictivo le había ofrecido dinero a cambio de permitirle acceder a su ordenador corporativo. Los actores maliciosos lo intentaron tentar prometiéndole un porcentaje del pago de un potencial rescate.

Estos casos evidencian que las amenazas internas de seguridad no suponen una cuestión anecdótica, sino que se tratan de riesgos que las empresas deben tener en cuenta a la hora de diseñar e implementar sus estrategias de ciberseguridad.

A continuación, vamos a abordar algunas claves sobre las amenazas internas de seguridad y la forma de gestionarlas.

1. ¿Qué son las amenazas internas de seguridad?

Según la CISA, la agencia estatal a cargo de la ciberseguridad en Estados Unidos, son amenazas internas de seguridad las personas que usan, consciente o inconscientemente, su acceso autorizado a la infraestructura tecnológica de una empresa para menoscabar sus objetivos o perjudicar a sus recursos, personal, información, equipos, redes o sistemas.

Esta definición nos aporta dos elementos claves que debemos tener en cuenta:

1. Las amenazas internas de seguridad no vienen solo de la mano de los profesionales de una organización, sino que los insiders pueden ser otros actores con acceso autorizado, como los proveedores, los clientes o los extrabajadores cuyos accesos no fueron revocados al dejar la compañía.
2. Detrás de las amenazas internas de seguridad pueden estar personas que tienen la intención de provocar un incidente de seguridad, pero también miembros de una organización que generan incidentes sin pretenderlo.

Así, el Instituto Nacional de Ciberseguridad (INCIBE) diferencia entre:

• Insiders maliciosos. Estos actores buscan de forma premeditada dañar a sus empresas. ¿Cuáles son sus motivaciones?
  • Económicas. Son las más habituales y consistir en obtener un pago por parte de un grupo delictivo con el que se ha llegado a un acuerdo, vender información crítica y secretos empresariales a organizaciones de la competencia, etc.
  • Personales. Detrás de las amenazas internas de seguridad puede haber motivos como la desafección o insatisfacción de un trabajador o el deseo de venganza de un profesional.
  • Políticas. En un contexto geopolítico tan complejo como el actual, no debe sorprendernos que grupos delictivos esponsorizados por estados busquen infiltrarse en empresas de estados rivales para obtener información clave, como propiedad industrial, o causar la disrupción de sus servicios.
• Insiders negligentes. En estos casos, los profesionales cometen errores, llevan a cabo acciones imprudentes o incurren en despistes que pueden generar incidentes de seguridad. Por ejemplo, hacer clic en una web maliciosa, descargarse archivos de fuentes poco seguras o apuntar sus credenciales de seguridad y dejarlas a la vista de otras personas.

2. ¿Cuáles son las amenazas internas que más preocupan a los expertos en ciberseguridad?

Un estudio señala que entre los potenciales insiders, los que generan más inquietud son los profesionales a cargo de la infraestructura tecnológica, porque gozan de privilegios de acceso muy elevados, por lo que los actores maliciosos pueden acceder a más información o provocar un mayor daño en la empresa atacada.

En el segundo nivel se encuentran los proveedores externos con acceso a la infraestructura tecnológica corporativa. El tercer escalafón lo ocupan los profesionales que trabajan en la organización y, finalmente, nos encontraríamos con usuarios empresariales privilegiados y que, por lo tanto, tienen acceso a los sistemas empresariales.

Estos actores pueden actuar de forma negligente, articular un plan para dañar a la empresa o alcanzar un acuerdo con un grupo delictivo interesado en infiltrarse o atacar a la compañía.

3. Consecuencias de las amenazas internas de seguridad

Las consecuencias de las amenazas internas de seguridad pueden ser de gran envergadura para las empresas, de ahí que sea fundamental contar con una estrategia para prevenirlas y detectarlas antes de que desencadenen daños graves. ¿De qué consecuencias estamos hablando?

• Espionaje económico. Los insiders pueden comerciar con secretos empresariales, propiedad intelectual, información financiera, etc.
• Espionaje industrial, especialmente en sectores críticos como el de la defensa, la energía, el aeroespacial o el legal.
• Sabotaje para dañar la infraestructura tecnológica de la compañía, impedir que lleve a cabo sus actividades y lograr afectar a su continuidad de negocio.
• Crímenes financieros contra la compañía, como la realización de pagos indebidos.
• Robo de datos personales y financieros de clientes y trabajadores, con las consecuencias legales que ello conlleva.
• Daño físico a las personas como consecuencia de la afectación de funciones básicas. Por ejemplo, la parálisis de la actividad de un hospital o daños provocados por maquinaria que funciona de forma inadecuada como consecuencia de su sabotaje.

De ahí que sea crítico que las empresas sean conscientes de las repercusiones económicas, legales y reputacionales vinculadas a las amenazas internas de seguridad.

4. Por qué aumentan las amenazas internas de seguridad

Nos encontramos en un momento extraordinariamente complejo tanto desde el plano geopolítico como desde el ámbito económico y tecnológico. Y esto tiene un impacto directo en el panorama de amenazas internas de seguridad.

Entre los motivos que explican por qué las amenazas internas de seguridad suponen un riesgo grave para las empresas nos encontramos con:

• Las tensiones geopolíticas y el rol que juegan los grupos de amenazas persistentes avanzadas en el ciberesipionaje y los ataques a sectores críticos.
• El salto al Cloud de las organizaciones, en las que es necesario controlar un amplio abanico de dispositivos y software, supone un desafío a nivel de seguridad.
• La expansión del teletrabajo tras la pandemia y la implantación de políticas BYOD en las empresas también incrementa su ciberexposición.
• La renovación constante de las plantillas implica que nuevos profesionales tienen acceso a privilegios y funciones críticos y hace necesario tener protocolos para gestionar la salida segura de los trabajadores.
• La contratación de profesionales en remoto facilita, también, que actores maliciosos se introduzcan en empresas. Sin ir más lejos, hace unos meses el Departamento de Justicia de Estados Unidos anunció que cinco personas se declararon culpables de haber robado identidades para conseguir que compañías estadounidenses contrataran a trabajadores de IT que, en realidad, eran agentes de Corea del Norte.
• El hecho de que las empresas hayan fortalecido sus defensas y a los grupos delictivos les resulte más difícil acceder a sus sistemas. De tal forma que los actores maliciosos buscan seducir a profesionales de las compañías para que les faciliten el acceso a sus sistemas. Para ello, ofrecen, como bien ilustró el reportero de la BBC, cantidades económicas elevadas e, incluso, el sueño de no tener que volver a trabajar.
• La externalización de los servicios de IT provoca que los profesionales de los proveedores puedan ser, también, insiders. De ahí que se deba tener en cuenta la ciberseguridad a la hora de contratar a los proveedores tecnológicos.

5. La explotación de vulnerabilidades facilita el escalado de privilegios

Un estudio ha revelado que en el 55% de las amenazas internas de seguridad se produce la explotación de vulnerabilidades que permiten a los actores maliciosos escalar los privilegios del insider y, así, lograr privilegios de administrador. ¿Con qué fin? Poder causar un daño mayor a la organización atacada o lograr acceso a información crítica.

Puesto que, al disponer de privilegios más elevados, los actores maliciosos pueden llevar a cabo acciones de despliegue de software malicioso como ransomware o spyware generando mayor impacto.

De ahí que en la lucha contra las amenazas internas de seguridad sea de gran relevancia llevar a cabo una gestión de vulnerabilidades en la que se priorice la subsanación de vulnerabilidades teniendo en cuenta el impacto que tendría su explotación exitosa.

Además, la gestión de vulnerabilidades permite a las empresas actuar con la máxima rapidez frente a vulnerabilidades 0-day y evitar que puedan ser explotadas para escalar privilegios y causar graves daños.

6. Formar a los profesionales de RRHH y tener en cuenta la ciberseguridad en los procesos de contratación

A la hora de evitar las amenazas internas de seguridad juega un papel esencial la gestión de recursos humanos de cada empresa. ¿Qué se puede hacer desde el punto de vista de la ciberseguridad?

1. Es fundamental que los equipos de RRHH cuenten con formación en materia de ciberseguridad.
2. Las personas encargadas de reclutar a profesionales deben tener en cuenta la formación y concienciación de los candidatos en materia de ciberseguridad.
3. Durante el proceso de contratación de nuevos profesionales se debe llevar a cabo una investigación para comprobar que los trabajadores potenciales no tienen vínculos con actividad maliciosa. Sobre todo, en los puestos en los que se disfruta de privilegios de acceso elevados, como sucede en los equipos de IT.
4. Se deben diseñar protocolos internos para que los trabajadores sepan cómo deben:
   • Usar los dispositivos corporativos y los equipos personales que emplean para trabajar.
   • Actuar en caso de que crean que han cometido un error o un descuido que puede saldarse con el acceso de actores maliciosos a los sistemas corporativos.
   • Informar sobre cualquier comunicación que hayan recibido por parte de grupos delictivos para facilitarles el acceso a dispositivos o software empresarial.
5. Fomentar a través del canal de denuncias de la empresa que se informe sobre comportamientos indebidos y actuaciones sospechosas que puedan ser indicios de amenazas internas de seguridad.
6. Actuar de manera proactiva para comprobar si existen amenazas internas de seguridad y ponerles coto antes de que se produzcan incidentes.
7. Tener en cuenta los riesgos asociados a las amenazas internas de seguridad y evitar que los profesionales descontentos se puedan convertir en insiders.

7. Pilares básicos de una estrategia frente a las amenazas internas de seguridad

Para prevenir y detectar las amenazas internas de seguridad en una empresa es fundamental:

• Establecer un sistema de permisos de seguridad que permita restringir el acceso a información y activos digitales. Por ejemplo, un profesional no puede tener permisos para consultar o exportar datos almacenados en un software que no necesita para llevar a cabo sus labores diarias.
• Implementar una política BYOD de manera segura mediante el uso de software Mobile Device Management (MDM).
• Registrar todas las acciones realizadas por los miembros de una organización y llevar a cabo una monitorización continua para detectar comportamientos inusuales y actuar cuanto antes frente a las amenazas internas de seguridad.
• Garantizar la seguridad física de los activos digitales, controlando el acceso a elementos críticos de la infraestructura por parte de los profesionales de la empresa.
• Formar y concienciar a todos los miembros de una organización para que eviten prácticas poco seguras en su día a día.
• Contar con filtros para detectar amenazas internas de seguridad que no solo tengan en cuenta aspectos técnicos, sino también comportamientos sospechosos, condicionantes extralaborales o el nivel de insatisfacción de los empleados.
• Contar con protocolos claros y eficaces para eliminar de manera inmediata los accesos de los extrabajadores a los activos digitales.

8. Qué servicios de ciberseguridad pueden ayudar a prevenir, detectar y erradicar las amenazas internas de seguridad

Más allá de estas prácticas básicas para evitar y detectar amenazas internas de seguridad, las empresas necesitan disponer de servicios de ciberseguridad para gestionar estos riesgos:

• Auditorías de seguridad continuas para detectar comportamientos anómalos y vulnerabilidades no identificadas hasta el momento.
• Gestión de vulnerabilidades. De cara a priorizar la mitigación de las debilidades que puedan ser explotadas en ataques internos para escalar privilegios y persistir sin llamar la atención de los encargados de la seguridad de la empresa.
• Servicios de pentesting interno para comprobar qué debilidades se pueden explotar en las amenazas internas de seguridad y determinar cómo se pueden remediar.
• Escenarios de Red Team específicos para amenazas internas de seguridad. Las compañías con un nivel de madurez tecnológica más elevado pueden someterse a ejercicios de Red Team en el que los profesionales del mismo simulan actuar como insiders. De esta forma se puede medir el nivel de ciberresiliencia frente a las amenazas internas de seguridad e incrementarlo implementando medidas de prevención y detección temprana.
• Respuesta a incidentes proactiva. A la hora de gestionar las amenazas internas de seguridad es crítico actuar con rapidez cuando se detectan y, así, minimizar su impacto en la empresa. Además, los profesionales del equipo de respuesta a incidentes son claves a la hora de recobrar la normalidad e investigar lo sucedido para tomar las pertinentes acciones legales y evitar que vuelva a ocurrir algo similar.

En definitiva, las amenazas internas de seguridad no son una cuestión menor para las empresas. De hecho, el impacto de las amenazas internas de seguridad puede ser extremadamente grave y causar pérdidas económicas severas.

Por eso, las compañías deben tener en cuenta las amenazas internas de seguridad a la hora de diseñar, implementar y optimizar sus estrategias de ciberseguridad.

Hoy en día, prevenir, detectar y responder ante las amenazas internas de seguridad es crítico para las empresas.