¡Conoce las opiniones de nuestros +8500 alumnos!

Banner LISA Comunidad


La amenaza de los Insiders: cómo detectar la amenaza interna

Los Insiders son personas que actúan en contra de la organización a la que pertenecen. Estos trabajadores, ex-trabajadores o proveedores, se aprovechan del acceso e información que disponen para influir negativamente, robar información, perjudicar o atacar los intereses de la empresa o institución en la que trabajan -o en la que trabajaron-.

Tener políticas y procedimientos para detectar, monitorizar e investigar a Insiders en cualquier empresa o institución es polémico, pero es muy necesario. La mayoría de organizaciones se centran en prevenir los ataques externos, cuando en realidad, la amenaza interna de los insiders, es la que tiene un mayor impacto en la seguridad y la ciberseguridad de cualquier organización.

Por ello, en este artículo, te lo explicamos todo sobre la amenaza de los Insiders, para que contribuyas a prevenir la "amenaza interna" en tu organización:

  • Qué son los Insiders
  • Tipos de Insiders
  • Cómo detectar a un Insider
  • Ejemplos de Insiders
  • Cómo prevenir la amenaza de los Insiders
  • Preguntas frecuentes sobre los Insiders

      La amenaza de los Insiders cómo detectar la amenaza interna - LISA Institute

      ¿Qué es un Insider?

      Un Insider, también conocido como amenaza interna, es un riesgo que se origina dentro de cualquier organización. Podríamos definir a un Insider como cualquier persona que trabaja en una organización y cumple los siguientes requisitos:

      1. Tener o haber tenido acceso, de manera autorizada, a la red, a los sistemas o a los datos de una empresa.
      2. Haber excedido o usado, intencionalmente, ese acceso de manera que haya afectado, negativamente, a la confidencialidad, integridad o disponibilidad de la información, los sistemas o los recursos de la organización. 

      Esto no quiere decir que el actor deba ser, únicamente, un empleado o un funcionario actual de la organización. También puede ser un consultor, un exempleado, un socio comercial e, incluso, un miembro de la junta. Los Insiders o amenazas internas no sólo conocen las políticas, procedimientos y tecnología de su organización, sino que también son conscientes de sus vulnerabilidades como, por ejemplo, las políticas y procedimientos impuestos o, por ejemplo, fallos técnicas explotables en las redes o sistemas de la organización.

      Según el Informe de investigaciones de violación de datos de Verizon 2019, los actores internos están involucrados en el 34% de las violaciones de los datos de una organización. Además, el 17% de todos los archivos confidenciales son accesibles para todos los trabajadores. Así pues, los insiders pueden producir ataques internos en todos los sectores de la organización como, por ejemplo:

      • Ataques de baja tecnología como modificar o robar información confidencial o sensible para beneficio personal.
      • El robo de secretos profesionales o de información de clientes para ser utilizados con fines de lucro o para dárselos a un gobierno u organización extranjera.
      • Delitos técnicamente sofisticados que permiten sabotear los datos, sistemas o redes de la organización.
      • Incidentes de violencia o sabotajes en el lugar de trabajo que causaron la pérdida de vidas humanas o lesiones.

      Sin duda, el fenómeno de los insiders siempre ha dado mucho que hablar por su impacto, pero volviendo a las anteriores estadísticas, ¿qué quieren decir? Los Insiders tienen las capacidades, motivaciones y privilegios necesarios para afectar a la organización, especialmente para robar datos importantes.

      De esta manera, un Director de seguridad y un Director de Ciberseguridad deben identificar y construir una defensa contra todos estos vectores de ataque. En otras palabras, cualquier persona que tenga conocimiento interno y/o acceso a los datos confidenciales de la organización, tecnologías de la información o recursos de red es una amenaza potencial interna o Insider. Si quieres aprender a investigar las amenazas que campan a sus anchas por el ciberespacio, clica aquí.

        Tipos de Insiders

        Para proteger una empresa de los Insiders, es fundamental comprender cómo son esas amenazas internas y evitar la digitalización masiva de todos los datos, sean confidenciales o no.

        Si quieres formarte y certificarte en Inteligencia competitiva para anticiparte a cualquier riesgo, amenaza u oportunidad en el mundo empresarial, haz clic aquí.

        Los dos tipos principales de Insiders son las personas maliciosas y participantes involuntarios:

        1. PERSONAS MALICIOSAS (TRABAJADORES INFIELES)

        Son personas que están actuando en contra de la organización desde dentro, a sabiendas y con toda la intencionalidad. En la mayoría de los casos, es un empleado o un contratista, alguien que se supone que tiene acceso físico (o digital) a la organización, pero que abusa de su acceso por diversión, venganza o para obtener algún tipo de beneficio a nivel económico. Algunos de los motivos que impulsan este tipo de comportamiento son los siguientes:

        • Ánimo de lucro: venta de secretos a empresas de la competencia o gobiernos extranjeros.
        • Cambio o mejora profesional: llevar documentos a un competidor o adversario. 
        • Venganza: como represalia a una situación que entienden injusto.

        2. PARTICIPANTES INVOLUNTARIOS O COOPERADORES NECESARIOS

        Un participante involuntario no es más que un peón, un empleado corriente: un buen hacedor que comete un error que es explotado por un mal actor o que, de otra manera, conduce a afectar directa o indirectamente a la organización a la que pertenece. Algunas acciones que pueden producirse de manera involuntaria son las siguientes:

        • Extraviar un ordenador o teléfono móvil.
        • Envío de un documento privado por correo electrónico a la persona equivocada.
        • Ejecutar un archivo malicioso (malware).
        • Introducir datos confidenciales como contraseñas corporativas en una página de phishing
        • Hacer clic en un ransomware.

          Cursos de Analista de Inteligencia - LISA Institute

          Cómo detectar a un Insider

          Hay comportamientos comunes que sugieren un Insider o amenaza interna activa, ya sea digital o en persona. Estos indicadores son importantes para el personal de seguridad y contrainteligencia, especialmente el Director de seguridad y el Director de Ciberseguridadlasí como los arquitectos de seguridad y sus equipos para monitorizar, detectar y detener posibles amenazas internas o Insiders.

          A continuación, te ofrecemos una lista de las señales o indicadores de advertencia digital y de comportamientos comunes de un Insider que es conveniente monitorizar:

          - SEÑALES DE ADVERTENCIA DIGITAL

          1. Descargar o acceder a cantidades sustanciales de datos
          2. Acceder a datos confidenciales no asociados con su función laboral
          3. Acceder a datos que están fuera de su perfil de comportamiento único
          4. Múltiples solicitudes de acceso a recursos no asociados con su función laboral
          5. Uso de dispositivos de almacenamiento no autorizados (p. Ej., Unidades USB o disquetes)
          6. Rastreo de red y búsqueda de datos confidenciales
          7. Acumulación de datos, copia de archivos de carpetas confidenciales
          8. Enviar datos confidenciales por correo electrónico fuera de la organización

          La amenaza de los Insiders cómo detectar la amenaza interna en tu organización

          - SEÑALES DE ADVERTENCIA DE COMPORTAMIENTO HUMANO

          1. Intentos de evitar la seguridad
          2. Frecuentar la oficina fuera de horario
          3. Mostrar un comportamiento de descontento hacia los compañeros de trabajo.
          4. Infracción de las políticas corporativas.
          5. Discusiones sobre renuncias o nuevas oportunidades.
          6. Búsqueda activa de empleo.
          7. Actuar de manera atípica o inusual.

          A pesar de que las advertencias de comportamiento humano pueden ser una indicación de amenazas internas, el análisis de inteligencia y la ciberinteligencia son las formas más eficientes de detectar a un Insider. Si quieres adquirir conocimientos y desarrollar habilidades en Inteligencia, entra aquí.

           

          Cursos de Ciberinteligencia LISA Institute

            Ejemplos de Insiders

            A continuación, encontrarás varios ejemplos reales de amenazas internas o Insiders:

            Tesla: Elon Musk, en verano de 2018, acusó a través de los medios de comunicación un sabotaje interno bastante grave realizado por un Insider dirigido contra los intereses de la automotriz Tesla. Un empleado realizó modificaciones al sistema de producción de Tesla y filtró a terceros una gran cantidad de datos confidenciales. El motivo del empleado para llevar a cabo esta amenaza interna derivó del rechazo a un ascenso al que aspiraba.

            Facebook: Facebook despidió a un ingeniero de seguridad que ‘presuntamente’ aprovechó su posición para acceder a información confidencial y ciberacosar a varias mujeres. Esta serie de revelaciones llevaron a Mark Zuckerberg, CEO de Facebook, a testificar ante el Congreso e implementar medidas de privacidad más estrictas y expandir los controles de privacidad del usuario.

            Coca-Cola:  La empresa anunció un incidente de violación de datos debido al robo, por parte de un exempleado, de un disco duro personal con datos confidenciales de trabajadores. Coca-Cola ofreció una monitorización de identidad gratuita durante un año a los empleados afectados a través de un proveedor externo.

            Suntrust Bank: La entidad financiera acusó a un exempleado de haber robado información personal: nombres, direcciones, números de teléfono y saldos de cuentas de unos 1’5 millones de sus clientes. El CEO de Suntrust, William Rogers, señaló que no había indicios de actividad fraudulenta en lo referente al uso de la información de los clientes y que los datos no habían sido enviados fuera del banco. Para conocer los mejores consejos de seguridad bancaria, haz clic aquí. 

            Cómo prevenir la amenaza de los Insiders

            Una violación de datos de 10 millones de registros le cuesta a la empresa alrededor de 3 millones de euros. Dado que se trata de una información privilegiada, ¿quién es el principal responsable de lidiar con la situación? ¿Es el Departamento TIC o Seguridad, es un problema de Legal o de RRHH? ¿O son todos ellos?

            Es fundamental crear una política y procedimientos para prevneir y actuar ante posibles Insiders y deben aprobarla y establecerla los máximos responsables de la organización.

            La clave para tener en cuenta y remediar las amenazas internas es tener el enfoque correcto y las soluciones adecuadas para detectar y proteger a la organización, sus datos y sus recursos frente a los Insiders:

            - Plan de defensa y respuesta ante posibles Insiders

            1. Monitorizar los archivos, los correos electrónicos y la actividad en las fuentes de datos principales

            2. Identificar y descubrir dónde se almacenan los archivos confidenciales

            3. Determinar quién tiene acceso a esos datos y quién debería tener acceso a esos datos

            4. Implementar y mantener un modelo de privilegios mínimos a través de la infraestructura:

            • Eliminar el grupo de acceso global
            • Poner a los propietarios de datos a cargo de administrar los permisos para sus datos y expirar rápidamente el acceso temporal

            5. Realizar un análisis de seguridad para alertar sobre comportamientos anormales que incluyen:

            • Intentar acceder a datos confidenciales que no forman parte de la función laboral normal
            • Intentar obtener permisos de acceso a datos confidenciales fuera de los procesos normales
            • Aumentar la actividad de archivos en carpetas confidenciales
            • Intentar cambiar los registros del sistema o eliminar grandes volúmenes de datos.
            • Grandes cantidades de datos enviados por correo electrónico fuera de la empresa, fuera de la función laboral normal

            6. Capacitar a los empleados para adoptar una mentalidad preventiva, de observación y centrada en la Seguridad por Defecto (Security By Default) y Seguridad por Diseño (Security By Design)

            La amenaza de los Insiders: cómo detectar la amenaza interna en tu organización

            - Plan de respuesta ante una posible violación de datos

            1. Identificar la amenaza y tomar las medidas previstas, principalmente:

            • Deshabilitar y/o cerrar la sesión del usuario cuando se detecte actividad o comportamiento sospechoso
            • Determinar qué usuarios y archivos han sido afectados

            2. Verificar la precisión e impacto de la amenaza y alertar a los equipos apropiados (Legal, RRHH, TI, CISO, Seguridad, etc.)

            3. Remediar o restaurar la vulneración y la vulnerabilidad:

            • Restaurar datos eliminados si es necesario
            • Eliminar cualquier derecho de acceso adicional utilizado por la información privilegiada
            • Escanear y eliminar cualquier malware utilizado durante el ataque
            • Volver a habilitar cualquier medida de seguridad burlada

            4. Investigar y realizar análisis forenses sobre el incidente de seguridad para determinar a todos los responsables, su modus operandi y las vulnerabilidades existentes.

            5. Alertar de su incumplimiento a las agencias reguladoras en caso de que sea necesario.

            6. Implementar las medidas formativas y de seguridad que ayudarán a prevenir una amenaza igual o similar.

            7. Informar a las personas afectadas ya sean empleados o clientes, y repararlas o indemnizarlas en función del caso.

            El principal secreto para defenderse de las amenazas internas (Insiders) es disponer de una política transversal a la organización con el apoyo de la Dirección, formar a todo el personal en la materia, monitorizar los datos y uso de sistemas, recopilar información relevante de forma permanente y activar alertas ante comportamientos anormales para poder actuar de forma temprana.

                Preguntas frecuentes sobre los Insiders

                A continuación, te damos respuesta a las preguntas más habituales sobre los Insiders:

                - ¿Qué son los Indicadores de Insiders?

                Los indicadores de amenazas internas son pistas que pueden ayudar a detener un ataque interno antes de que se convierta en una violación de datos o, si ya se ha producido, reducir su impacto. Los comportamientos humanos son los principales indicadores de posibles amenazas internas. Es importante que entrenes a tu equipo para reconocer diferentes comportamientos anormales en tu área. Por otro lado, existen plataformas como Varonis para detectar aquellas actividades que indiquen una posible amenaza interna. 

                - ¿Qué motiva una amenaza interna?

                La principal motivación para llevar a cabo un ataque interno es el dinero: El 34% de las violaciones de datos en 2019 son ataques internos y el 71% de las violaciones de datos están motivadas por el dinero. La segunda motivación sería el espionaje o el intento de obtener una ventaja estratégica: El 25% de las infracciones están motivadas por estas causas. 

                - ¿Cómo se detecta a un Insider que se supone que debe acceder a datos confidenciales?

                Los usuarios necesitan acceder a datos confidenciales como parte de su trabajo. El profesional de la ciberseguridad necesita discernir la intención a medida que esos usuarios realizan su trabajo, sin afectar al mismoNo puede determinar la intención con una sola entrada: necesita múltiples puntos de datos. Es necesario preguntarse: ¿el usuario accede regularmente a estos datos? ¿realmente lo necesita? ¿El usuario exhibe algún otro comportamiento anormal? ¿Están cargando grandes cantidades de datos al correo electrónico? ¿Dichos datos están directamente relacionados con su función o actividad profesional? 

                - ¿Las alertas basadas en umbrales son propensas a falsos positivos?

                Las alertas basadas en el umbral son malas para determinar la intención, pudiendo llevar a los profesionales de la seguridad a errores de enfoque y priorización. Aquí hay un escenario simple: un usuario mueve una carpeta de datos confidenciales a una nueva ubicación. Si tiene una alerta basada en el umbral para “500 operaciones de archivos con datos confidenciales en un minuto”, ese usuario la activaría. El tiempo de un equipo de seguridad es más valioso que perseguir cada cambio de carpeta, por eso se recomienda utilizar análisis de inteligencia para hacer alertas más inteligentes y pragmáticas acordes a la capacidad de respuesta de los equipos de seguridad.

                - ¿Son realmente útiles las listas de vigilancia?

                Las listas de observación, listas de usuarios a los que se debe vigilar, pueden ser útiles, pero también tienen un lado oscuro. Al pensar en las listas de vigilancia, es fácil observar que pueden ser utilizadas en exceso y, por ende, poner al equipo de seguridad en una posición difícil con respecto al resto de los usuarios. Por otro lado, los usuarios deben ser "conscientes de la seguridad" y contar con un método seguro para reportar actividades sospechosas. En otras palabras, es importante desarrollar y mantener las mejores prácticas en relación con la lista de observación. Para ello, hay que investigar y eliminar a los usuarios de la lista de observación rápidamente, y apoyarse en los análisis de seguridad e inteligencia, para controlar el comportamiento anormal.

                   

                  Cursos de Analista de Inteligencia LISA Institute

                  Quiero saber más sobre Análisis de Inteligencia, ¿qué hago?

                  Si quieres ampliar información sobre cualquier ámbito de la Inteligencia Competitiva, Económica, Criminal o Policial, consulta estos artículos de nuestro blog:

                  Si quieres empezar ya a formarte en inteligencia, te recomendamos los siguientes cursos online:

                  Si quieres saber aún más

                  Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia, Ciberseguridad y Geopolítica.