En el clásico de la comedia laboral Trabajo Basura (1999), tres empleados descontentos idean un plan: introducir un virus en el sistema financiero de la empresa para desviar una fracción de céntimo de cada transacción y depositarla en una de sus cuentas bancarias. Como las transacciones son muy pequeñas, los hombres están convencidos de que nadie en la empresa se dará cuenta, pero, por supuesto, un decimal está mal colocado y las cosas se tuercen. Aunque la película describe de forma hilarante una amenaza interna, este tipo de amenaza no es cosa de risa en el mundo real.

Como ya comentamos en una entrada anterior, una amenaza interna es un riesgo para la seguridad que procede del interior de una organización. El causante de la amenaza puede ser un empleado actual o antiguo, un contratista o un tercero que utiliza sus privilegios legítimos o su acceso a las instalaciones, redes, datos u otra información sensible de la empresa para dañar intencionadamente (o no) a una empresa. En comparación con las amenazas externas, las amenazas internas son mucho más peligrosas porque se tienen las “llaves del reino” y muchas oportunidades para causar estragos.

Las tres causas principales de las amenazas internas

Según el informe de IBM “El coste de las amenazas internas”, las tres causas más comunes de las amenazas internas son la negligencia de los empleados y contratistas (63%), el robo de credenciales (23%) y las amenazas internas delictivas y malintencionadas (14%).

La negligencia de empleados y contratistas, que cuesta unos 4,58 millones de dólares al año, se reduce a una sola cosa: el error humano. El ser humano es falible, y en el vertiginoso mundo actual, en el que los empleados tienen que lidiar con numerosas responsabilidades, trabajan en múltiples proyectos e intentan realizar varias tareas a la vez, los descuidos y los accidentes proliferan. Una amenaza interna de este tipo podría producirse por enviar información confidencial por correo electrónico a un destinatario equivocado, por ser víctima de una estafa de phishing o por un sistema mal configurado.

Como es más difícil de conseguir, el robo de credenciales ocurre con menos frecuencia, pero robar las credenciales de un empleado es la gallina de los huevos de oro para un hacker. Si un atacante consigue las credenciales de un administrador u otro empleado con acceso de alto nivel, puede entrar fácilmente en los sistemas de una empresa y moverse por ellos sin ser detectado. De las tres causas, el robo de credenciales tiene el mayor coste por incidente.

Aunque los delincuentes y los empleados malintencionados son la causa menos común de las amenazas internas, es posible que sea la causa más peligrosa, ya que estos individuos tienen un conocimiento profundo de la infraestructura, la propiedad intelectual, los datos y las prácticas de seguridad de la empresa. De los numerosos incidentes conocidos, los empleados malintencionados suelen robar datos o secretos de la empresa o realizar ataques que sabotean las ventajas competitivas o causan daños irreparables a la reputación de la empresa.

Cómo hacer frente a las amenazas internas

Las amenazas internas están aumentando a un ritmo impresionante. Una investigación de Protectera descubrió que, en 2018, el 53 % de las empresas declararon haber sufrido entre 21 y 40 incidentes más al año; esa cifra aumentó al 60 % en 2020 y al 67 % en 2022.

Dado que las amenazas internas pueden provocar pérdidas de datos críticos, tiempos de inactividad en toda la empresa, daños a la imagen de marca, ramificaciones legales y mucho más (todo ello además de los costes de resolución), contar con una estrategia para protegerse contra estas amenazas es más que imperativo. Entonces, ¿qué tipo de prácticas deben aplicarse?

Establecer políticas rígidas y aplicables

Una de las mejores formas de prevenir y minimizar las amenazas internas es contar con políticas de seguridad estrictas y asegurarse de que todos los empleados las conocen y las cumplen sin falta. Estas deben abarcar como mínimo lo siguiente:

• Políticas de gestión de contraseñas – Documente cómo se crean, utilizan, desactivan y eliminan las credenciales. Los elementos básicos de esta política deben incluir la exigencia de contraseñas complejas que nunca se hayan utilizado antes, la exigencia de autenticación multifactor (MFA), la limitación de los intentos de inicio de sesión, el establecimiento de una antigüedad máxima de las contraseñas y la configuración de los sistemas para que se desconecten tras unos minutos de inactividad.
  
  
• Políticas de acceso privilegiado – Conceda a cada usuario sólo el acceso que necesite para realizar sus tareas y sólo durante el tiempo necesario. Mantenga una lista detallada y actualizada de las cuentas privilegiadas y evite las cuentas de administrador compartidas. Además, en lugar de tener cuentas privilegiadas sin límites, siga el principio de separación de responsabilidades.
  
  
• Políticas de supervisión de usuarios – Active la supervisión y el registro de todos los sistemas críticos, incluidas las plataformas de gestión de identidades y accesos (IAM) y las soluciones de detección de intrusiones. Asegúrese de utilizar un sistema que supervise la actividad privilegiada y envíe a los administradores alertas en tiempo real sobre las acciones críticas.
  
  
• Políticas de gestión de cuentas – Detalle y documente las normas que rigen la creación, la gestión y la eliminación de las cuentas de usuario, así como las directrices para la concesión o revocación de privilegios de autorización. Además, incluya un procedimiento para que los usuarios establezcan los derechos de sus cuentas.

Realizar evaluaciones de riesgos en toda la empresa

Los equipos de seguridad deben realizar evaluaciones anuales para identificar todos los activos críticos y las vulnerabilidades, teniendo en cuenta cómo las amenazas internas pueden llegar a poner en peligro esos activos. A cada activo debe asignársele un perfil de riesgo, y los que ocupen las posiciones más altas deben ser objeto de mayor atención a la hora de asignar recursos a la mitigación de riesgos.

Mantener a los empleados alerta y restringir el acceso físico

Concienciar a los empleados y formar a los equipos es una de las tácticas de defensa más vitales, especialmente en lo que respecta a las conductas negligentes y las amenazas internas. Asegúrese de mantener a los empleados al corriente de las amenazas y estafas más comunes, así como de los nuevos métodos que puedan estar utilizando los hackers.

Reforzar todos los aspectos de la seguridad física también puede eliminar posibles amenazas. No debe permitirse la entrada en las oficinas a personas no autorizadas, y las salas de servidores deben permanecer siempre cerradas. Los empleados deben disponer de lugares seguros para guardar cualquier dispositivo que contenga información confidencial y, en casos extremos, las empresas pueden revisar los maletines y los bolsos de los empleados para asegurarse de que no se llevan nada del edificio.

Una amenaza es una amenaza

Las amenazas a la seguridad están en su punto más álgido, y las PYMES siguen siendo especialmente vulnerables (el 61% sufrió alguna el año pasado). Aunque a menudo reciben menos atención, las amenazas internas pueden ser tan peligrosas y costosas como las externas y deben tratarse con la misma diligencia.

Como las amenazas internas son mucho más difíciles de detectar, contar con una solución de supervisión y respuesta a incidentes (IR) 24/7 puede ayudar a los equipos de seguridad a mitigar las amenazas internas mediante la supervisión proactiva de los sistemas, la detección de cualquier actividad sospechosa y la respuesta de acuerdo con políticas IR predefinidas. En definitiva, los equipos de seguridad deben prepararse para todas las amenazas por igual, cerrando todas las brechas y eliminando todas las vulnerabilidades conocidas lo mejor que puedan, ya que las amenazas seguirán llegando desde todos los frentes y pueden producirse en cualquier momento.