La ciberseguridad es una necesidad absoluta en el mundo interconectado actual y, tras la reciente expansión del trabajo en remoto, las amenazas se han multiplicado. Los hackers y los ciberdelincuentes que obtienen acceso a los recursos de TI pueden dañar gravemente las operaciones, las finanzas, la reputación y la ventaja competitiva de tu organización. Es lógico que los esfuerzos de seguridad informática tiendan a centrarse en combatir estas amenazas externas. La prioridad número uno es que tu información confidencial esté donde tiene que estar: a buen recaudo en tus sistemas.

Pero, ¿qué nivel de seguridad ofrece? Las amenazas que se originan dentro de una organización pueden causar tanto daño como los ciberataques externos, pero a menudo no llegan a solucionarse. Reconocer y responder a posibles amenazas internas debe ser un componente clave de tu estrategia para proteger los sistemas de información y los datos confidenciales esenciales para la actividad de tu empresa.

Características de las amenazas internas

Las amenazas internas pueden provenir de cualquier persona de confianza con conocimiento o acceso a los recursos de tu organización. Los atacantes pueden ser empleados (actuales o anteriores), miembros de la organización, proveedores, personal de custodia, contratistas de construcción y cualquier persona con acceso legítimo a las instalaciones, los equipos, los dispositivos o las redes informáticas de la empresa.

Definición de las amenazas internas

Una amenaza interna se define como la posibilidad de que una persona aproveche una posición de confianza para dañar a la organización mediante el uso indebido, el robo o el sabotaje de recursos críticos. Aunque la infraestructura, el personal y el equipo son susceptibles de ser atacados, el principal recurso en riesgo ante amenazas internas es la información. La información confidencial (es decir, la propiedad intelectual) y los datos confidenciales son recursos lucrativos, por lo que las redes de TI y las bases de datos que gestionan información son especialmente vulnerables a las amenazas internas.

Cuando se comprometen recursos de información valiosos, el daño puede tener un alcance considerable. La pérdida de la confidencialidad, integridad y accesibilidad de los datos no supone solo un coste, sino que puede llegar a limitar la capacidad de tu organización para operar. Algunos ciberataques llegan a poner en jaque la seguridad nacional o socavar los sistemas de sanidad y seguridad pública.

Tipos de amenazas internas

Las amenazas internas se dividen generalmente en dos categorías:

1. Las amenazas internas no intencionadas son el resultado de la complacencia, la negligencia o el mal juicio, más que de la intención real de hacer daño. Perder un dispositivo de la empresa, ignorar las notificaciones de actualización de los sistemas de seguridad informática, consultar o comentar datos confidenciales en lugares públicos y no verificar las identidades de los visitantes a las instalaciones son ejemplos de amenazas no intencionadas. Errores simples como hacer clic en un hipervínculo desconocido, dejar un documento confidencial en una impresora compartida o enviar un correo electrónico a una dirección incorrecta son amenazas accidentales que no solo son involuntarias, sino que posiblemente ni siquiera la persona responsable sea consciente de ellas.
2. Las amenazas internas maliciosas implican una intención de hacer daño. El atacante puede ser alguien que actúa solo o con cómplices, y generalmente está motivada por el deseo de obtener beneficios económicos o por la venganza frente a un supuesto perjuicio causado. Otras situaciones de amenazas internas pueden implicar colusión; en este escenario, una parte hostil externa, como una red cibercriminal o un gobierno extranjero, recluta o coacciona al atacante interno. Los escenarios típicos implican la divulgación o venta de propiedad intelectual o datos confidenciales. También es posible que el atacante interno elimine, modifique o dañe intencionadamente los datos de una organización o que dé acceso a una tercera persona no autorizada a las redes y sistemas de TI de la organización.

Amenazas externas

Los ciberataques que se originan externamente y son perpetrados por atacantes sin acceso directo a los recursos de tu organización no se consideran amenazas internas. En lugar de confiar en usuarios legítimos para eludir los firewalls de seguridad de la información, los delincuentes usan métodos que no requieren un acceso autorizado. Aunque no se les clasifica como amenazas internas, los ciberdelincuentes externos pueden atacar a usuarios internos sin que estos sean conscientes y utilizarlos como puertas de entrada a las redes de datos de la organización.

Cinco indicadores comunes de amenazas internas a los que hay que prestar atención

Las señales de advertencia de comportamiento son los indicadores clave de una posible amenaza interna. Tanto los patrones de huellas digitales como las observaciones realizadas por colegas y asociados pueden señalar a un individuo como una amenaza potencial.

Indicadores de amenaza

Las anomalías en el comportamiento digital pueden revelar que una persona es una posible amenaza interna. Cinco indicadores comunes de que un individuo puede representar un riesgo interno de ciberseguridad:

• Uso de dispositivos electrónicos personales no aprobados para fines comerciales de la organización
• Solicitudes de autorización para acceder a unidades, documentos o aplicaciones que van más allá de las necesidades comerciales
• Inicio de sesión o acceso al sitio en horarios no habituales
• Picos inusuales en el tráfico de datos que pueden indicar una descarga o transferencia de archivos
• Patrón de acceso reciente a documentos confidenciales o de propiedad exclusiva

Detección de amenazas

Las amenazas internas provienen de personas de confianza y, por lo tanto, son tremendamente difíciles de detectar. Los atacantes internos pueden causar un daño excepcional a tu organización porque tienen acceso fácil y aprobado a recursos valiosos. Cuanto antes se pueda identificar e investigar una amenaza potencial, más posibilidades tendrás de prevenir una brecha y sus consecuencias para tu organización. Una vez comprometidos los datos, el daño a la organización puede ser irreparable. Las pérdidas financieras en algunos casos se pueden recuperar, pero no sin antes dedicar mucho tiempo y esfuerzo a actuaciones judiciales. Algunas pérdidas no se pueden cuantificar ni reparar, como la pérdida de la propiedad intelectual, el daño a la reputación y la pérdida de ventaja competitiva.

Amenazas internas potenciales

Las observaciones de comportamiento pueden indicar una potencial amenaza interna. Colaboradores, supervisores, compañeros, subordinados y otros asociados cercanos tienen una posición privilegiada para detectar ciertos patrones de comportamiento en una persona con acceso autorizado a los recursos de tu organización. Los empleados deben ser conscientes de la responsabilidad de denunciar comportamientos que puedan ser indicio de vulnerabilidad, entre ellos:

• Infracciones de las directivas de organización (viajes, informe de gastos, seguridad, documentación)
• Conflictos y enfrentamientos con compañeros
• Absentismo, malos hábitos de horario u horario errático
• Falta de fiabilidad, ausencias en reuniones, incumplimiento de plazos
• Merma del rendimiento por problemas financieros, legales, médicos o familiares
• Enfado por la percepción de pérdida de estatus o progreso profesional

Detección de amenazas internas

La capacidad de tu organización para detectar la amenaza de un atacante interno malintencionado es clave para proteger recursos valiosos contra pérdidas o datos comprometidos. Un conjunto de herramientas y prácticas bien diseñado es esencial para un buen programa de lucha contra amenazas internas.

Elección de herramientas de detección de amenazas internas

La tecnología juega un papel primordial en un programa para detectar señales de advertencia de amenazas internas. Mediante inteligencia artificial (IA) y análisis de datos, estas herramientas de software monitorizan la actividad, determinan patrones y generan alertas cuando ocurren anomalías. Entre los ejemplos se incluyen:

• Monitorización de la actividad del usuario (UAM)
• Análisis de comportamiento de entidades y usuarios (UEBA)
• Prevención de pérdida de datos (DLP)
• Gestión de eventos e información de seguridad (SIEM)

Aunque son potentes, estas herramientas deben ajustarse a objetivos específicos de detección de amenazas. Las necesidades de tu organización dependerán del entorno del sector, así como de la cultura, las directivas internas y, por supuesto, los recursos críticos. Si una herramienta de detección de amenazas no se elige con cuidado y no se adapta a un entorno particular, puede que no sea capaz de distinguir las anomalías de la actividad habitual. Es posible que haya amenazas que pasen desapercibidas o que genere muchos falsos positivos. En cualquier caso, la confianza de la organización en el sistema de detección se ve socavada y las herramientas no brindarán la protección que necesitas.

Prácticas recomendadas de prevención de amenazas internas

Debido a que la TI afecta a todas las partes de una organización, la prevención de amenazas internas se resuelve mejor como parte de la gestión general de riesgos empresariales. Cada ecosistema de datos es único, por lo que las estrategias de prevención deben adaptarse a tu situación concreta.

Un primer paso fundamental en la prevención es identificar y comprender los recursos claves de tu entidad. Crea una base de datos detallada de todos los recursos de TI que incluya información sobre el tipo de recurso, la clasificación de riesgos y el acceso de los usuarios. Este proceso te dará una imagen global de la situación de TI de tu organización y te ofrecerá información sobre los tipos de herramientas que debes emplear para monitorizarla.

Además, elige herramientas de análisis que puedan generar métricas adecuadas, identificar patrones y detectar señales anómalas dentro de tu entorno concreto de TI. Limita el acceso a los recursos al menor número posible de personas para las operaciones de la empresa, emplea la autenticación multifactor (autenticación MFA) y restringe estrictamente los permisos administrativos. Revisa periódicamente las configuraciones para asegurarte de que estén optimizadas a medida que evoluciona tu inventario de recursos.

Los enfoques tecnológicos para la prevención de amenazas, aunque necesarios, son solo parte de la solución. El compromiso de los empleados también es esencial para que un programa de prevención de amenazas funcione correctamente. Comunica con claridad la necesidad empresarial de proteger los recursos de TI y educa a tus empleados sobre su responsabilidad individual para salvaguardar los datos. Los módulos de formación pueden ayudar a tus empleados a reconocer posibles amenazas internas y conocer los procedimientos adecuados para denunciarlas.

Para fomentar la participación activa en la monitorización de amenazas, destaca el compromiso con el respeto y la privacidad de aquellos que informan de comportamientos preocupantes. Utiliza recordatorios periódicos en forma de actualizaciones de directivas, cuestionarios y casos de estudio para reforzar la conciencia sobre las amenazas internas y crear una cultura que priorice la seguridad.

Importancia de la detección temprana

Cuanto antes detecte tu equipo una amenaza interna, más probabilidades tendrás de evitar una brecha de ciberseguridad y sus consecuencias. Incluso si ya se ha producido una brecha, la detección temprana puede reducir el daño. Si el ataque está en curso, se puede detener la salida de datos, identificar a los responsables y revocar sus credenciales, y se puede comenzar de inmediato con el análisis de eventos y la reparación.

Evaluación de amenazas internas

Si tienes motivos para sospechar de una amenaza interna, debes tomar medidas inmediatas para evaluar la validez de la amenaza y su riesgo potencial para tu organización.

Definición de la evaluación de amenazas internas

Cuando se identifica una posible amenaza interna, ya sea a través de herramientas analíticas o de canales de denuncia del personal, se debe evaluar para determinar si supone un riesgo real y decidir los próximos pasos. Cualquier retraso puede marcar la diferencia entre la prevención y la reparación de daños a posteriori. Si defines de forma proactiva un programa de evaluación de amenazas, estarás preparado para solucionar la situación de manera eficiente y reducirás la posibilidad de que la amenaza se materialice y cause daños graves.

Cómo realizar una evaluación de amenazas internas

Prepárate para responder rápidamente a posibles indicadores de amenazas internas reuniendo un equipo de gestión de amenazas, que incluya representantes de los departamentos jurídico, de seguridad, TI y recursos humanos. Cuando se identifica una posible amenaza, el equipo debe reunir y analizar información sobre el comportamiento de la persona involucrada, sus posibles intenciones o motivos, y su capacidad para causar daños. A partir de este análisis, el equipo concluirá si la preocupación es real o infundada. Si la preocupación está justificada, el nivel de riesgo determinará si la línea de actuación debe ser una supervisión atenta de los empleados o, por el contrario, una intervención inmediata. La preocupación por la legalidad y la privacidad debe ser una prioridad durante la evaluación de amenazas internas.

Solución de detección con CrowdStrike

La misión de CrowdStrike es darte los recursos que necesitas para resolver las amenazas internas. Con nuestras soluciones basadas en la nube, podrás desarrollar medidas de prevención y reducción de riesgos sólidas, adaptadas al panorama de recursos de TI de tu organización.

El primer paso para proteger los recursos de tu organización es compilar un inventario. Para echarte una mano con esa tarea, CrowdStrike cuenta con CrowdStrike® Asset Graph™, un nuevo componente de la plataforma CrowdStrike Falcon®. Esta herramienta puede ayudarte a descubrir y catalogar todos los recursos de TI de tu organización, comprender sus relaciones interconectadas y revelar posibles vulnerabilidades. Las opciones de búsqueda y visualización permiten a tu equipo de seguridad de TI extraer y evaluar datos para adaptarse a las necesidades comerciales únicas de tu organización.

Una vez que identifiques el recurso que quieres proteger, nuestros servicios de Evaluación de riesgos técnicos, Evaluación de compromisos y Monitorización de seguridad de red se encuentran entre las herramientas disponibles para que puedas crear un marco para detectar y mitigar amenazas internas.

La información es el alma de tu organización. Mantenla a salvo de ataques internos con la ayuda de las soluciones integrales de seguridad de la información de CrowdStrike.