Radiografía de los motivos que mueven las amenazas internas

Las amenazas internas pueden tener muchas formas, desde el empleado distraído que no sigue los protocolos de seguridad básicos hasta el usuario interno malintencionado que intenta dañar a su organización conscientemente. Algunas amenazas pueden provenir de un simple error, otras de una venganza personal. Algunos usuarios actuarán en solitario, otros a instancias de un competidor o de un estado-nación.

Pero, independientemente del método y los motivos, los resultados pueden ser devastadores. El coste medio de un solo incidente interno causado por la negligencia de un usuario supera los 300.000 dólares. Y la cifra aumenta a más de 755.000 cuando se trata de un ataque criminal o malicioso, superando los 870.000 dólares cuando implica el robo de credenciales de acceso.

A diferencia de muchos otros ataques comunes, las amenazas internas rara vez son una operación relámpago. Cuanto más tiempo tarde en detectarse la amenaza, más daño puede causar a la organización. Y cuanto mejor comprenda la empresa a sus empleados, sus motivaciones y su relación con sus datos y redes, antes podrá detectar y contener posibles amenazas.

Los motivos de las amenazas internas

Las amenazas internas pueden dividirse fácilmente en dos categorías: las negligentes y las malintencionadas. Pero tras cada una de ellas hay varias motivaciones posibles. Como la mecánica de cada ataque puede ser completamente distinta según los motivos a los que responda, comprender en profundidad estas causas puede significar que un incidente se quede en amenaza potencial o que tenga éxito.

Beneficios económicos. Los beneficios económicos son quizás la motivación más común para el usuario malintencionado. Los empleados de todos los niveles son conscientes de que los datos corporativos y la información confidencial tienen un precio. Y un empleado con acceso a datos puede percibir que el riesgo de permitir que esa información caiga en las manos equivocadas es mínimo, comparado con la recompensa que puede obtener.

Y, probablemente, el riesgo de este tipo de amenazas es mayor en el entorno actual. La pandemia de coronavirus ha provocado situaciones de presión financiera a millones de personas, ante el riesgo de despidos y el clima de inseguridad laboral. Lo que alguna vez pudo parecer una decisión inimaginable, ahora puede parecer una solución rápida.

Negligencias
La negligencia es la causa más común de amenazas internas, y les cuesta a las organizaciones una media de 4,58 millones de dólares al año.

Normalmente, una amenaza negligente es el resultado de malas praxis en seguridad: no iniciar / cerrar sesión adecuadamente en los sistemas corporativos, la anotación o reutilización de contraseñas, el uso de dispositivos o aplicaciones no autorizados y la falta de protección de los datos de la empresa.

Además, los usuarios negligentes son, a menudo, reincidentes, y tienden a saltarse los protocolos de seguridad para poder trabajar a mayor velocidad, tener mayor productividad o simplemente trabajar de forma más cómoda.

Distracciones. Un empleado distraído podría caer en la categoría de negligente. Sin embargo, en nuestra radiografía merece la pena destacar este tipo de amenazas, porque puede ser más difíciles de detectar. Mientras que la conducta habitual de los empleados negligentes suele levantar banderas rojas cuando ignoran las buenas prácticas en seguridad, un empleado modelo puede serlo hasta el mismo momento en que se distrae y comete un error.

En la situación actual, el riesgo de distracción es potencialmente mayor, con la mayoría de los empleados trabajando en remoto, muchos por primera vez, y cambiando a menudo entre aplicaciones personales y profesionales. Fuera del entorno formal de la oficina, y distraídos por el entorno doméstico, pueden tener patrones de trabajo diferentes, estar más relajados e incluso ser más propensos a pinchar en enlaces maliciosos o a eludir las normas de seguridad habituales.

Daños a la organización. Algunos usuarios malintencionados no tienen intereses económicos ni personales. Su única motivación es el daño a la organización. Es habitual leer historias sobre el gran impacto de las filtraciones de datos de Adobe, LinkedIn o Yahoo, por poner algunos ejemplos. Para cualquiera que desee dañar la reputación o los ingresos de una organización, no hay mejor manera en el mundo digital que filtrar datos confidenciales de los clientes.

Las amenazas internas movidas por esta motivación tendrán, generalmente, quejas contra la empresa. Y las causas pueden ir desde no haber sido considerado para una subida de sueldo o para una promoción, hasta haber estado sujeto a medidas disciplinarias.

Espionaje y sabotaje. Los usuarios internos malintencionados no siempre trabajan solos. En algunos casos, pueden estar pasando información a un tercero, como un competidor o un estado-nación. En este caso, estaríamos hablando de espionaje o sabotaje. Y puede ser porque un competidor reclute un infiltrado en su organización para apropiarse de propiedad intelectual, de datos de I+D o de información sobre clientes para obtener una ventaja, o de un estado nación que en busca secretos gubernamentales o información clasificada para desestabilizar a otro estado.

En los últimos años, este tipo de casos ha aumentado notablemente. Piratas informáticos y usuarios infiltrados de Rusia, China y Corea del Norte están implicados regularmente en ataques internos patrocinados por el estado contra organizaciones occidentales.

Defenderse desde dentro

Así como los motivos pueden marcar el método de ataque, también permiten trazar la respuesta adecuada. Es poco probable que una estrategia efectiva para prevenir las negligencias pueda disuadir a una amenaza interna por encargo y sofisticada que pretenda causar daño a la organización.

Dicho esto, la base para cualquier defensa es una política integral de control. Esto supone tener visibilidad total sobre las redes: quién las está utilizando y a qué datos están accediendo. Estos controles deben aprovecharse para limitar la información confidencial solo a los usuarios más privilegiados y para limitar de forma estricta la transferencia de datos desde los sistemas de la compañía.

Sobre esta base se tendrán que agregar a continuación más capas para contrarrestar amenazas específicas. Para protegerse contra empleados descontentos, por ejemplo, las protecciones adicionales podrían incluir filtros en las comunicaciones de la compañía para detectar vocabulario de alto riesgo, así como aplicar controles específicos a usuarios de alto riesgo, como aquellos que hayan tenido expedientes disciplinarios o los que podrían abandonar la compañía próximamente.

Finalmente, cualquier defensa exitosa contra amenazas internas debe situar a los empleados en el centro. Para ello, es necesario crear una cultura de seguridad fuerte. Esto significa que todos los usuarios deben ser conscientes de cómo pueden poner en riesgo a la organización de forma involuntaria con su comportamiento. Todos deben poder reconocer signos tempranos de posibles amenazas, independientemente de cuál sea su motivación. Y todos deben ser conscientes de las graves consecuencias de poner a la organización en peligro intencionalmente.

Adenike Cosgrove, estratega de ciberseguridad para los mercados internacionales de Proofpoint