La mayoría de los incidentes de seguridad interna son el resultado de un error inocente. Pero a veces, por un motivo u otro, un empleado roba o manipula deliberadamente los recursos corporativos para obtener algún beneficio. Ya sea aprovechando una vulnerabilidad o robando datos que podrían beneficiarles en el futuro, el coste medio de estos ataques de usuarios internos malintencionados se eleva a 648 062 dólares, según un estudio de investigación del Instituto Ponemon sobre amenazas internas. Estos costes se derivan de diversos factores, como la pérdida de datos y sistemas, el esfuerzo necesario para restaurar dichos datos y sistemas, y los rescates pagados a los atacantes. Además del impacto financiero, estos ataques pueden dañar a una organización desde distintas perspectivas: reputación, ventaja competitiva, confianza de los clientes, etc.
Algunos titulares recientes demuestran que ninguna organización está a salvo del riesgo de usuarios internos malintencionados y hacen evidente la necesidad de aplicar medidas de seguridad adecuadas para mitigarlo:
Pfizer alegó que un empleado cargó 12 000 archivos a una cuenta de Google Drive, incluidos datos relacionados con secretos comerciales de la vacuna contra el COVID-19. Al parecer, el empleado tenía una oferta de empleo de otra empresa.
Una empresa de Connecticut alegó que un empleado que dejaba la empresa llevó a cabo un ataque de ransomware contra los sistemas de la empresa antes de irse, encriptando archivos y emitiendo una demanda anónima de pago.
Un desarrollador senior de Nueva York fue detenido por robar supuestamente datos a través de una VPN e intentar extorsionar a su empleador haciéndose pasar por un hacker externo.
Los usuarios internos malintencionados existen desde hace décadas, pero el riesgo que suponen ha aumentado con el cambio al trabajo remoto. Ahora que muchos empleados, proveedores y socios trabajan fuera de la oficina y de la red corporativa tradicional, es mucho más difícil diferenciar entre el comportamiento de un empleado malintencionado y un comportamiento normal.
Forrester Research describe el aumento del trabajo remoto relacionado con la pandemia como parte de una "tormenta perfecta para los usuarios internos malintencionados". Como ocurre con muchos otros tipos de ataque, la pandemia creó un entorno que facilita a los usuarios internos malintencionados ocultar sus acciones. Sin embargo, el riesgo no se debe solo a la pandemia. Varios factores contribuyen a ello:
Falta de visibilidad física: los usuarios remotos son más difíciles de supervisar, por ejemplo, podrían hacer fotos de información confidencial que se muestre en la pantalla de un ordenador, sin dejar rastro ni correr el riesgo de que un compañero los viera. Además, las señales de advertencia anteriores de un posible robo de datos, como acceder a los recursos corporativos a horas inusuales, o salir del trabajo a horas intempestivas, son más difíciles de advertir en los equipos remotos, e incluso pueden no ser sospechosas en absoluto debido a los horarios de trabajo "flexibles".
Uso de dispositivos personales: cada vez más organizaciones apoyan la iniciativa "usa tu propio dispositivo" (BYOD). No obstante, es más difícil controlar el acceso a los datos y a las aplicaciones en los dispositivos personales, y esto crea otro punto de acceso para el robo de datos. Si el equipo de seguridad carece de un software para puntos finales que garantice cierta visibilidad y control del acceso en los dispositivos personales, puede que no se percate de que se está produciendo un acceso no previsto a los datos.
Aumento de la adopción de aplicaciones SaaS: las aplicaciones SaaS se alojan en infraestructuras en la nube de terceros, fuera de la red corporativa tradicional. Los empleados suelen acceder a estas aplicaciones a través de la red pública, y si la organización no controla el uso de la red pública a través de una puerta de acceso web segura, no podrá saber quién accede a qué datos.
La "Gran Dimisión": algunos empleados, por desgracia, consideran la dimisión como una oportunidad para llevarse información confidencial a su siguiente puesto. En una encuesta realizada por Tessian, el 45 % de las personas afirma haber descargado archivos antes de dejar un trabajo o después de que le despidieran. Concretamente, en el caso del departamento de informática, una encuesta reciente de Gartner concluyó que solo un 29 % de los empleados de TI "tienen una alta intención de permanecer en su empresa actual". La continuidad de esta tendencia conlleva el incremento del riesgo potencial del robo de información confidencial por parte de los empleados.
Además de estas tendencias, las tácticas utilizadas por los usuarios internos malintencionados han evolucionado rápidamente. Un reciente informe sobre riesgos internos concluyó que el 32 % de los usuarios internos malintencionados utilizaban "sofisticadas técnicas" para encontrar y exfiltrar datos. Por ejemplo, utilizar direcciones de correo electrónico falsas, ocultar su identidad, actuar lentamente a lo largo del tiempo, guardar archivos como borradores en cuentas de correo electrónico personales y utilizar herramientas aprobadas existentes en la organización.
El informe anual de Code42 sobre la exposición de datos indica que el 39 % de las empresas no disponen de un programa de gestión de riesgos de usuarios internos malintencionados. Para esas empresas, la implementación será un primer paso importante. Para establecer algunos sistemas de protección inmediata, considera la posibilidad de incorporar algunas prácticas recomendadas operativas como, por ejemplo:
Reducción del acceso a las aplicaciones y los datos más confidenciales en cuanto un empleado notifique su renuncia.
Bloqueo inmediato de los recursos corporativos para los empleados que ya no trabajan en la empresa.
Reinicio de sesión obligatorio durante el tiempo de inactividad.
Uso obligatorio de un programa de gestión de contraseñas.
Formación a los empleados sobre comportamientos sospechosos.
Implementación de un proceso anónimo para denunciar comportamientos sospechosos.
Los usuarios internos malintencionados están familiarizados con las prácticas de seguridad de su organización. Esto significa que los protocolos operativos mencionados anteriormente nunca evitarán totalmente el riesgo. La prevención requiere un marco de seguridad más completo y moderno, como Zero Trust. Un principio Zero Trust básico es que, por defecto, no se confía en ningún usuario o solicitud, ni siquiera cuando ya está dentro de la red.
La seguridad Zero Trust puede ayudar a las organizaciones a reducir la vulnerabilidad de usuarios internos malintencionados mediante estas medidas obligatorias:
La depreciación de las VPN: las VPN suelen dar carta blanca al acceso a la red de los usuarios. Este privilegio excesivo crea un riesgo innecesario de que los usuarios internos malintencionados propaguen las amenazas lateralmente y exfiltren datos. La eliminación progresiva de las VPN es un primer paso habitual hacia la adopción de Zero Trust a más largo plazo.
Supervisión y aplicación de controles de seguridad a la navegación por Internet: esto significa aumentar la visibilidad de la actividad de los usuarios en Internet, y aplicar controles para evitar que usuarios internos malintencionados introduzcan datos confidenciales, por ejemplo, en sitios web sospechosos o inquilinos personales de sitios de almacenamiento en la nube. Es posible implementar estos controles mediante puertas de enlace web seguras (SWG) y el aislamiento remoto del navegador (RBI).
Acceso autenticado basado en señales de identidad y otras señales contextuales: estableciendo políticas de acceso de privilegio mínimo que solo permitan a los usuarios acceder a los recursos tras comprobar primero la identidad, la autenticación multifactor (MFA) y otras señales contextuales como la postura del dispositivo. La superposición de estas señales contextuales puede ayudar a detectar a los usuarios internos malintencionados. La comprobación de estas señales contextuales puede ayudar a detectar actividades sospechosas y poco fiables de posibles usuarios internos malintencionados.
Cloudflare ayuda a las organizaciones a lograr una seguridad Zero Trust integral que aplica reglas basadas en la identidad, la postura y el contexto para proteger las aplicaciones. Esto garantiza que los usuarios acceden solo a las aplicaciones y a los datos que necesitan para su trabajo, y minimiza el potencial de exfiltración de datos.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Cómo el trabajo remoto dificulta la detección de amenazas internas
Los factores que facilitan la acción de usuarios internos malintencionados
Las técnicas avanzadas que utilizan los usuarios internos para exfiltrar datos
Cómo la seguridad Zero Trust puede impedir el movimiento lateral
Obtén más información sobre el acceso a la red Zero Trust con el libro electrónico 7 formas de trabajar desde cualquier lugar.