Las graves ciberamenazas, como los ataques a la cadena de suministro de software, el fraude de correo electrónico empresarial (BEC) y otras estafas que aprovechan los datos de acceso robados a los empleados, junto con el ransomware y otros ataques que a menudo se ven facilitados por un próspero modelo de negocio de “cybercrime-as-a-service”, han hecho que la ciberseguridad ocupe un lugar prioritario en las agendas de los consejos de administración.
Con la prisa por la transformación digital, el cambio a modalidades de trabajo flexibles y la apuesta por la nube para ello, y la creciente dependencia de proveedores externos, la superficie de ataque de cada organización se ha ampliado considerablemente. El panorama de la ciberseguridad es ahora más complejo que nunca y, dado que los atacantes se aprovechan sin descanso de esta complejidad, identificar y priorizar los riesgos más críticos no siempre es una tarea sencilla.
“Para complicar aún más las cosas, mantener a raya a los atacantes externos suele ser sólo la mitad de la batalla. Las amenazas internas no suelen recibir la debida atención, aunque el impacto de un incidente dirigido por un atacante interno puede llegar a ser incluso más grave que el de un incidente causado únicamente por un atacante externo”, comenta Josep Albors, director de Investigación y Concienciación de ESET España.
Delante de tus narices
Una amenaza interna es un tipo de amenaza de ciberseguridad que proviene desde dentro de una organización, ya que normalmente se refiere a un empleado o contratista, tanto actual como antiguo, que podría causar daños a las redes, sistemas o datos de una empresa.
Las amenazas internas suelen ser de dos tipos: intencionadas y no intencionadas, y estas últimas se dividen a su vez en accidentales y por descuido. Los estudios demuestran que la mayoría de los incidentes relacionados con información privilegiada se deben a descuidos o negligencias, más que a malicia. La amenaza puede adoptar muchas formas, como el robo o el uso indebido de datos confidenciales, la destrucción de sistemas internos, la concesión de acceso a agentes malintencionados, etcétera. Además, suelen estar motivadas por varios factores, como los financieros, la venganza, la ideología, la negligencia o la simple malicia.
Estas amenazas plantean retos de seguridad únicos, ya que pueden ser difíciles de detectar y aún más difíciles de prevenir, entre otras cosas porque los intrusos tienen una ventana de oportunidad mucho mayor que los atacantes externos. Naturalmente, los empleados y contratistas necesitan un acceso legítimo y con los suficientes permisos a los sistemas y datos de una organización para realizar su trabajo, lo que significa que la amenaza puede no ser evidente hasta que el ataque se produzca realmente o después de que el daño esté hecho. Por otro lado, aunque las habilitaciones de seguridad exigen la comprobación de antecedentes, no tienen en cuenta estrictamente el estado de ánimo personal, ya que éste puede cambiar con el paso del tiempo.
No obstante, existen ciertas medidas que una organización puede adoptar para minimizar el riesgo de amenazas internas. Según ESET, estas se basan en una combinación de controles de seguridad y una cultura de concienciación sobre la seguridad. En este sentido, la compañía líder en ciberseguridad lista algunos de los consejos para prevenir y mitigar el riesgo de amenazas internas:
- Implantar controles de acceso: Implantar controles de acceso, como el control de acceso basado en funciones (RBAC), puede ayudar a limitar el acceso a datos y sistemas sensibles sólo a aquellos empleados que lo necesiten para desempeñar las funciones de su trabajo. Al conceder acceso sólo a aquellos empleados que lo necesitan para desempeñar sus funciones, una empresa puede reducir significativamente su exposición a las amenazas internas. También es esencial revisar periódicamente estos privilegios de acceso para que los niveles de acceso sigan siendo adecuados y acordes con las funciones de los empleados.
- Controlar la actividad de los empleados: Implementar herramientas de supervisión para rastrear la actividad de los empleados en los dispositivos de la empresa o en su red puede ayudar a identificar comportamientos sospechosos que pueden ser indicativos de una amenaza interna. La supervisión también puede ayudar a detectar cualquier transferencia de datos inusual o patrones anormales de acceso a sistemas y datos sensibles. No obstante, ESET recuerda que es importante cumplir la normativa local y establecer directrices claras en materia de supervisión para abordar posibles problemas de privacidad.
- Comprobar los antecedentes: Comprobar los antecedentes de todos los empleados, contratistas y proveedores antes de concederles acceso a datos sensibles y confidenciales puede ayudar a identificar cualquier riesgo potencial. Estas comprobaciones también pueden utilizarse para verificar el historial laboral y los antecedentes penales de una persona.
- Impartir cursos y formaciones sobre ciberseguridad: Impartir formación periódica de concienciación sobre seguridad a los empleados es fundamental para ayudarles a comprender mejor los riesgos de ciberseguridad y cómo mitigarlos. Esto puede ayudar a reducir la probabilidad de amenazas internas accidentales, como caer víctimas del phishing, por ejemplo.
- Prevención de pérdida de datos: La implantación de un sistema DLP (Data Loss Prevention) puede ayudar a prevenir la pérdida o el robo de datos mediante la supervisión, detección y bloqueo de cualquier transferencia o intercambio no autorizado de datos confidenciales. Esto puede ayudar a reducir las amenazas internas, pero también a proteger los datos confidenciales. La advertencia, sin embargo, es que los proveedores de DLP también están en el punto de mira de los atacantes, lo que supone una preocupación añadida.
“Cabe señalar que ninguna de estas medidas es infalible por sí sola y que ninguna solución puede eliminar por completo las amenazas internas. Pero aplicando una combinación de estas medidas, y revisando y actualizando periódicamente las políticas de seguridad, las empresas pueden reducir significativamente su exposición a las amenazas internas”, añade Albors.
Concienciar a los empleados en materia de seguridad: algo imprescindible
Según ESET, esta es una de las principales medidas por varias razones. En primer lugar, estas formaciones ayudan a las empresas a ahorrar algo de dinero al reducir el riesgo de amenazas internas involuntarias. La mayoría de las veces, los empleados no son conscientes de ciertos riesgos de ciberseguridad y pueden hacer clic involuntariamente en un enlace de suplantación de identidad, descargar malware o compartir datos internos confidenciales, lo que da lugar a filtraciones de datos u otros incidentes. Impartiendo formación periódica a los empleados, se pueden prevenir este tipo de incidentes, reduciendo los costes asociados a esta amenaza interna, así como el daño a la reputación asociado a las infracciones y los problemas legales.
Además, impartir formación sobre concienciación en materia de seguridad puede mejorar el nivel general de seguridad de una empresa, lo que se traduce en un aumento de la eficacia y la productividad, ya que los empleados formados para reconocer y notificar incidentes de seguridad pueden ayudar a detectar y mitigar las amenazas en una fase temprana, reduciendo su impacto y los costes asociados a ellas.
Sin embargo, la aplicación de una combinación de medidas adaptadas a las necesidades específicas de una empresa sigue siendo el mejor enfoque para combatir las amenazas internas y ahorrar costes a largo plazo.