¿Qué es una amenaza interna?

Una amenaza interna es un riesgo de ciberseguridad que  procede del interior de la organización, normalmente de un empleado, exempleado u otra persona con acceso directo a la red, los datos confidenciales y la propiedad intelectual de la empresa, y conocimientos de los procesos de negocio, las políticas de la empresa u otra información que puede ayudarle a perpetrar el ataque.

Por lo general, cuando un ataque es de naturaleza maliciosa, un atacante interno tiene motivaciones económicas para liderar o participar en tales esfuerzos. Estos ataques generalmente implican el robo de datos, propiedad intelectual o secretos comerciales que pueden venderse en la dark web, o la recopilación de información en nombre de un tercero hostil.

Definición de atacante interno

Un atacante interno puede ser cualquiera que conozca al detalle la empresa y su funcionamiento. Lo más habitual es que los atacantes internos sean empleados actuales o anteriores, aunque contratistas, empleados autónomos, proveedores, socios o incluso proveedores de servicios pueden convertirse en atacantes internos si tienen acceso a la red y a los sistemas de la organización, o disponen de conocimiento sobre ellos.

¿Por qué es difícil detectar las amenazas internas?

Hoy en día, las amenazas internas, ya sean maliciosas o negligentes, son difíciles de combatir y aún más difíciles de detectar. De hecho, el Instituto Ponemon estima que el tiempo promedio que lleva resolver un incidente de amenaza interna es de 77 días, con un coste promedio estimado de 7,12 millones de dólares en 30 días.

Hay dos razones principales por las que es difícil detectar un ataque interno:

1. La mayoría de herramientas y soluciones de seguridad se centra en identificar y prevenir amenazas externas, pero no están diseñadas para detectar comportamientos sospechosos de usuarios legítimos
2. Muchos actores internos están familiarizados con la configuración de la red, las directivas de seguridad y los procedimientos de la organización, y conocen vulnerabilidades, brechas u otras deficiencias que pueden explotarse

Con el coste extraordinario de contener las amenazas internas, así como el daño a la reputación que pueden causar, las empresas deberían desarrollar un programa robusto contra amenazas internas que esté diseñado específicamente para abordar este riesgo crítico.

Tipos de amenazas internas

Por lo general, las amenazas internas se dividen en dos categorías principales:

1. Amenazas internas maliciosas
2. Amenazas internas negligentes

Amenazas internas maliciosas

Una amenaza interna maliciosa es un evento planificado, que generalmente implica a un empleado actual o anterior descontento o vulnerado que atacará a la empresa ya sea para obtener un beneficio financiero personal o para vengarse. Estos incidentes suelen estar vinculados a actividades delictivas o ilícitas más amplias, como fraude, espionaje o robo de datos o de propiedad intelectual. Un atacante interno malicioso puede trabajar solo o en colaboración con un ciberdelincuente, un grupo ciberterrorista, una agencia gubernamental extranjera u otra entidad hostil.

Las amenazas internas maliciosas suelen implicar:

• Compartir, vender, modificar o eliminar datos confidenciales o información sensible
• Usar indebidamente las credenciales de inicio de sesión o el acceso al sistema
• Modificar el entorno de TI para permitir que otros accedan o permanezcan dentro sin ser detectados

Amenazas internas negligentes

Una amenaza interna negligente es la que ocurre por un error humano, por falta de atención o por una manipulación incorrecta. Como estas amenazas no implican que personas actúen de mala fe, prácticamente cualquiera puede actuar como un atacante interno negligente si, sin darse cuenta, comparte datos confidenciales, utiliza contraseñas poco seguras, pierde un dispositivo, no logra proteger un endpoint o es víctima de un ataque de ingeniería social.

Los incidentes internos negligentes suelen formar parte de un ciberataque más grande, que puede involucrar malware, ransomware u otros vectores de ataque.

Indicadores técnicos de amenazas internas

Las aplicaciones de seguridad tradicionales no detectan adecuadamente las amenazas de atacantes internos maliciosos, en parte, porque no fueron diseñadas para hacerlo. En muchos casos se calibran según reglas y umbrales, y se basan en la coincidencia de patrones. Estas medidas de seguridad pueden ser eludidas por usuarios que tengan un conocimiento detallado de la configuración de seguridad, la directiva y los procedimientos de la empresa.

Un sistema moderno de detección de amenazas internas incluye inteligencia artificial (IA) y análisis para establecer una referencia de la actividad de todos los usuarios y dispositivos extrayendo diferentes datos de la empresa. Las soluciones más sólidas utilizan estos datos para asignar puntuaciones de riesgo personalizadas para cada usuario y dispositivo, lo que proporciona un contexto adicional al equipo de ciberseguridad mientras revisan las alertas dentro del sistema. El sistema de detección de amenazas internas identificará de forma proactiva actividad anómala que podría indicar una actividad ilícita por parte de alguien interno.

Las anomalías incluyen:

• Acceder a la red, a los sistemas y a los recursos en momentos inusuales, lo que podría indicar un uso indebido de los recursos o que las credenciales de un usuario se hayan visto comprometidas
• Picos inesperados e inexplicables en el tráfico de la red, que pueden ser indicio de que un usuario está descargando o copiando datos
• Solicitar acceso a aplicaciones, datos o documentos que no son necesarios para el desempeño de su trabajo
• Acceder a una determinada combinación de documentos o datos que, tomados en conjunto, podrían indicar una actividad malintencionada
• Utilizar dispositivos personales, como portátiles, móviles y unidades USB, sin la aprobación del departamento de TI

Además de las anomalías de comportamiento, las organizaciones también pueden buscar indicadores de red, que podrían indicar una amenaza interna u otro tipo de ciberataque. Los indicadores de amenaza interna incluyen:

• La presencia de una puerta trasera dentro de la red, que podría permitir el acceso remoto a usuarios no autorizados
• Descargas de hardware o software que no hayan sido aprobadas, instaladas o monitorizadas por el equipo de TI ni el de seguridad, lo que podría poner en riesgo el dispositivo
• Deshabilitar manualmente herramientas y configuraciones de seguridad

¿Quién está en riesgo de sufrir amenazas internas?

Por definición, cualquier organización con usuarios "internos" puede ser víctima de una amenaza interna. La mayoría de las herramientas y soluciones de ciberseguridad generalmente se centran en amenazas que se originan fuera de la organización; además, el personal interno puede estar familiarizado con los procedimientos de seguridad y las vulnerabilidades del sistema de la empresa, por lo que puede ser más difícil proteger a la empresa de una amenaza interna que de otros tipos de ataques.

En concreto, las organizaciones que poseen grandes cantidades de datos de clientes, propiedad intelectual o secretos comerciales pueden ser el principal objetivo de brechas de datos y robos, en ambos casos con origen en una amenaza interna. Al mismo tiempo, algunas amenazas internas, en particular en las que se colabora con atacantes externos, están vinculadas al espionaje u otras prácticas de captación de información que pueden ser utilizadas por países, gobiernos extranjeros u otros terceros para comprometer a la víctima, extorsionar a la empresa o dañar su reputación.

Los siguientes sectores son muy susceptibles a las amenazas internas:

• Organizaciones de servicios financieros, como bancos, entidades de crédito, emisores de tarjetas de crédito y prestamistas
• Aseguradoras
• Operadores de telecomunicaciones
• Proveedores de energía y servicios
• Empresas de fabricación
• Empresas farmacéuticas
• Instituciones sanitarias y hospitales
• Agencias gubernamentales y oficiales de alto rango

Es importante señalar que, además del coste real de una brecha de datos derivada de una amenaza interna, dicho evento también puede implicar multas y otras sanciones de agencias gubernamentales u otros grupos de control si la empresa no tomó las medidas suficientes para proteger los datos de los consumidores, empleados o pacientes.

¿Cómo se puede prevenir y detener una amenaza interna?

Puesto que las medidas de seguridad tradicionales normalmente no monitorizan las acciones internas, las organizaciones deben tomar medidas especiales para protegerse de ese riesgo.

Protección contra amenazas internas negligentes

A nivel empresarial, la protección frente a ataques internos negligentes es similar a la protección frente al malware, ransomware u otras ciberamenazas. Sigue estas prácticas recomendadas para mantener tus operaciones siempre seguras:

1. Forma a todos los empleados en prácticas recomendadas de ciberseguridad.

Los empleados representan la primera línea de tu seguridad. Asegúrate de que sigan unas buenas prácticas de higiene, como utilizar una protección de contraseñas sólida, conectarse solo a redes Wi-Fi seguras y estar constantemente atentos al phishing en todos sus dispositivos. Imparte sesiones de formación sobre seguridad detalladas y periódicas para garantizar que conozcan la evolución del panorama de las amenazas, y de que tomen las medidas necesarias para protegerse a sí mismos y a la empresa de amenazas internas y otros riesgos.

2. Mantén el sistema operativo y el resto de software parcheado y actualizado.

Los hackers buscan constantemente grietas y puertas traseras por donde colarse. Si estás pendiente de actualizar tus sistemas, minimizarás tu exposición a vulnerabilidades desconocidas.

3. Monitoriza continuamente el entorno en busca de actividades maliciosas e indicadores de ataque (IOA).

Implementa un sistema de detección y respuesta para endpoints (EDR) para monitorizar todos los endpoints mediante la captura de eventos sin procesar para la detección automática de actividades maliciosas no identificadas por los métodos de prevención.

4. Integra inteligencia sobre amenazas en la estrategia de seguridad.

Monitoriza los sistemas en tiempo real y mantente al día de lo último en inteligencia sobre amenazas para mejorar la seguridad de tu red y detectar un ataque rápidamente, saber cuál es la mejor manera de responder y evitar que se propague.

Prevención de amenazas internas

CrowdStrike calcula que un 80 % de todas las brechas utilizan identidades comprometidas, por lo que uno de los pasos más importantes que las organizaciones pueden dar para protegerse contra ataques internos es mejorar la seguridad de la identidad.

Cómo puede la seguridad de la identidad evitar amenazas internas

La seguridad de la identidad es una solución integral que protege el conjunto de identidades de una empresa (ya sean humanas o de máquinas, locales o híbridas, normales o con privilegios) para detectar y prevenir brechas de seguridad basadas en la identidad, sobre todo cuando el adversario, incluidos los usuarios internos, logra esquivar las medidas de seguridad de los endpoint.

Debido a que cualquier cuenta, ya sea la de un administrador de TI, un empleado, un trabajador en remoto, un proveedor externo o incluso un cliente, puede obtener privilegios y proporcionar una ruta de ataque digital para el adversario, las organizaciones deben poder autenticar todas las identidades y autorizar todas las solicitudes. De este modo, podrán mantener la seguridad de sus operaciones y evitar una amplia variedad de amenazas digitales, incluido el ransomware y los ataques contra la cadena de suministro.

Pasos clave para mejorar la seguridad de la identidad:

1. Protege Active Directory (AD)

Activa una visibilidad completa y en tiempo real de AD, tanto local como en la nube, e identifica administradores ocultos, cuentas obsoletas, credenciales compartidas y otras vías de ataque de AD.

Aumenta la seguridad de AD y reduce riesgos mediante la monitorización del tráfico de autenticación y del comportamiento de los usuarios. Además, aplica directivas de seguridad sólidas para detectar anomalías de forma proactiva.

Activa la monitorización continua de credenciales poco seguras, desviaciones de acceso y compromisos de contraseñas con puntuación de riesgo dinámica para todas las cuentas de usuario y de servicio.

2. Amplía la seguridad de la autenticación multifactor (MFA)

Protege los endpoints no gestionados con acceso condicional basado en riesgos y extiende la protección de la autenticación MFA a aplicaciones y herramientas anteriores con análisis propios sobre el comportamiento de los usuarios y el tráfico de autenticación.

Aplica una directiva coherente basada en riesgos para bloquear, permitir, auditar o intensificar automáticamente la autenticación para todas las identidades.

3. Crea una referencia de actividad de los usuarios

Centraliza la actividad y el comportamiento de los usuarios en todos los logs de datos relevantes, incluido el acceso, la autenticación y los endpoints.

Usa estos datos para crear una referencia de actividad para cada usuario individual, grupo de usuarios, función, título y dispositivo que permita identificar actividades inusuales o sospechosas.

Asigna una puntuación de riesgo personalizada a cada usuario y endpoint para dar un mayor contexto al equipo de ciberseguridad.

4. Usa el análisis de comportamientos y la IA para identificar amenazas

Emplea análisis y herramientas con IA para monitorizar el comportamiento de los usuarios y los dispositivos en tiempo real.

Cruza las alertas con la puntuación de riesgo para dar mayor contexto al evento y priorizar los esfuerzos de respuesta.

Eliminación de amenazas internas con la plataforma CrowdStrike Falcon®

La plataforma CrowdStrike Falcon® proporciona visibilidad y seguridad continua en tiempo real para todos los usuarios de la organización y sus recursos. CrowdStrike ofrece a sus clientes una estrategia de seguridad integral, que incluye la integración de la gestión de identidades y accesos (IAM), los principios Zero Trust y la higiene de AD como ninguna otra solución del mercado. Nuestros factores diferenciadores son: integración de IAM, seguridad sólida de AD, cumplimiento NIST Zero Trust, evaluación de riesgos y plataforma de API abierta.

Para obtener más información sobre cómo CrowdStrike protege a las organizaciones frente a amenazas internas, solicita una demo de las capacidades de CrowdStrike Falcon® Next-Gen Identity Security.