Amenaza interna, Risk Management, Transformación digital

Los fantasmas no serán reales, pero las amenazas internas sí que lo son

Las personas suelen debatir acerca de la existencia de espíritus que vienen del más allá al igual que los responsables de IT de las empresas se plantean si las amenazas internas realmente existen. Lo cierto es que, por más inocentes e imaginarias que estas puedan parecer, las amenazas internas son tan reales como la vida misma.

Con frecuencia nos imaginamos a los hackers como los típicos delincuentes sin rostro y con capucha que teclean incansablemente para «conseguir hackear el mainframe». Sin embargo, las amenazas a las que su organización se enfrenta pueden ser mucho más sencillas y discretas que los ataques realizados por un pirata cibernético. El infiltrado, que es la ciberamenaza menos predecible de todas, puede ser su amigo, compañero de trabajo o hasta un miembro de su equipo. Sin embargo, además del típico hacker de Hollywood y de su compañero de oficina existen otras amenazas para su ciberseguridad, como son los diversos proveedores y contratistas externos de los que dependen la mayoría de las organizaciones. Según la consultora PwC, el 81% de las empresas subcontratan parte de sus operaciones a un proveedor de servicios externo… Pero ¿y por qué no deberían hacerlo? Al externalizar ciertas operaciones, las organizaciones obtienen beneficios en materia de costes, agilidad y productividad.

Aunque los hackeos suelan ser anónimos, hay ciberdelincuentes a los que sí se les puede poner cara…

A menudo, los responsables de seguridad creen que la mayor amenaza para una organización proviene de equipos organizados altamente cualificados, pasando por alto algo aún más evidente: ¿Y si la amenaza estuviera más cerca de nosotros, dentro del perímetro de nuestra red, dentro de nuestro edificio e incluso sentado en la mesa de al lado?

La mayor amenaza para la seguridad de su organización puede ser una persona que usted ya conoce, es decir, un infiltrado. De hecho, IBM informó de que ¡las amenazas internas son la causa del 60% de los ciberataques! Las preguntas ahora son: ¿Qué es lo que incentiva una amenaza interna? ¿Qué es lo que lleva a alguien a sembrar el pánico desde dentro de la organización?

Primero de todo, lo cierto es que no todas las amenazas internas provienen de actores maliciosos que buscan abusar de sus privilegios. Aunque puede darse el caso, la amenaza interna también puede derivarse de una negligencia o error humano.

Todos los miembros de la plantilla de una organización pueden llegar a convertirse en un riesgo para esta, ya que muchos empleados tienen privilegios elevados y acceso administrativo a sistemas que son clave para el funcionamiento diario de la empresa. Sin embargo, este riesgo interno puede adoptar diferentes formas, por lo que no existen reglas fijas para detectar a un ciberdelincuente. La ley de la probabilidad significa que no importa lo talentoso y trabajador que un empleado sea, este puede llegar a ser el catalizador de un incidente de seguridad importante.

Entonces, ¿qué es lo que está pasando y por qué hay que preocuparse?

La base de datos de amenazas internas del CERT contiene más de 1 000 incidentes en los que personas con información privilegiada han llegado a perjudicar a su organización (sabotaje); han robado información privilegiada (robo de propiedad intelectual); o han modificado o borrado datos con el fin de obtener un beneficio personal o robar una identidad (fraude). De estos casos, únicamente 33 estaban relacionados con empleados descontentos, según consta en documentos judiciales o en declaraciones de testigos. Esto demuestra que la amenaza interna va mucho más allá de la simple cólera de un trabajador: ¡el 96,7% de los casos tuvieron su origen en un error, fueron causados por negligencia o por algún otro vector de acceso interno!

Independientemente de que un atacante busque sabotear una empresa y llevar a cabo una venganza personal, la realidad es que los ataques vinculados a «infiltrados» que utilizan credenciales de los empleados pueden tener impactos significativos en una organización. Algunos de los principales resultados de los ataques que figuran en la base de datos mencionada fueron la eliminación o copia de datos y el bloqueo del acceso al sistema.

Ante tales consecuencias, resulta fundamental proteger el acceso a los sistemas corporativos y a los recursos informáticos.

El riesgo de las cuentas huérfanas

Muchas organizaciones, cuando sus usuarios con privilegios pasan de un rol a otro o, peor aún, cuando abandonan la empresa, no les llegan a dar completamente de baja. Estas cuentas se conocen como «huérfanas», y obviamente representan un gran problema, ya que dejan abiertas vulnerabilidades innecesarias. Un fallo en el desmantelamiento del acceso a cuentas privilegiadas da a los actores maliciosos los medios necesarios para acceder a sistemas sensibles a través de credenciales privilegiadas y potencialmente rebotar a través de la red a cualquier activo.

Por desgracia, eliminar las cuentas huérfanas perdidas y olvidadas es mucho más fácil de decir que de hacer. Con tantos sistemas, directorios de identidad y aplicaciones gestionados en silos, estas cuentas pueden pasarse fácilmente por alto. También puede darse el caso que el desmantelamiento no se produzca porque los usuarios tienen cuentas que el departamento de IT ni siquiera conoce, lo que también se conoce como «shadow IT». A medida que los empleados y los contratistas externos entran y salen, las cuentas y los permisos van evolucionando de forma cada vez más compleja. Es por ello que estas cuentas huérfanas crean importantes vulnerabilidades de acceso a la infraestructura informática.

Daños y datos perdidos

Muchos de los incidentes de la base de datos del CERT implicaban la eliminación de rangos de datos, desde la supresión de registros específicos hasta la eliminación del código fuente que corrompía un sistema crítico en el que la empresa y sus clientes confiaban. En un caso, un antiguo infiltrado que tenía pleno acceso a la red y los sistemas de la empresa atacó la organización a distancia durante cuatro meses. El infiltrado borró archivos cruciales de los servidores, eliminó discos de copia de seguridad clave y suprimió numerosos registros de una importante base de datos utilizada por otros sistemas. A pesar de haber dejado de trabajar en la organización durante hacía ya varios meses, las credenciales de usuario del infiltrado seguían siendo válidas, lo que le permitió llevar a cabo su venganza.

En otro de los incidentes, una persona con información privilegiada bloqueó de forma remota el acceso a un sistema con sus credenciales de usuario. El hecho de tener una cuenta de usuario con privilegios elevados le proporcionó un acceso remoto autorizado al firewall, que luego utilizó para impedir que la cuenta del CEO pudiera acceder a Internet y, finalmente, modificó los archivos para inutilizar el sistema.

Lo peor de todo es que los sistemas de la administración de IT suelen utilizar una contraseña genérica, o una contraseña compartida que rara vez se cambia. Estas contraseñas pueden utilizarse durante días, meses o incluso años después para acceder a sistemas críticos y causar estragos.

A primera vista, los empleados y contratistas pueden parecer perfectamente dignos de confianza cuando se les asigna acceso de usuario y privilegios elevados para administrar sistemas o acceder a datos financieros o de clientes. Sin embargo, si las credenciales de estos se pierden, se roban o la persona en cuestión decide aprovecharse de su acceso mientras está trabajando en la empresa o incluso después, la organización puede enfrentarse a la pérdida de datos, la congelación de las operaciones, enormes costes de recuperación y costosas multas por incumplimiento.

Vulnerabilidades explotadas

Es necesario comprobar las vulnerabilidades de seguridad IT persistentes, ya que estas pueden dar lugar a una brecha de seguridad. Por ello, con el fin de evitar un incidente de seguridad que no tenga vuelta atrás, resulta imprescindible proteger el acceso y los datos. Como bien hemos visto, el CERT incluyó en su base de datos una serie de incidentes en los que se copiaron, robaron o manipularon maliciosamente datos a través de la explotación de vulnerabilidades que eran conocidas y que no se solucionaron.

En la práctica, las contraseñas poco seguras son una de las mayores amenazas para la seguridad de toda organización. Tanto las contraseñas compartidas como las genéricas o antiguas pueden dar lugar a que, con un poco de esfuerzo, cualquier persona ajena a la empresa pueda convertirse en un infiltrado. Por esta razón es importante implementar requisitos estrictos que exijan que las contraseñas sean sólidas y se roten de forma obligatoria.

En dos de los incidentes de la base de datos del CERT, las personas involucradas provenían del interior de la empresa y antes de copiar los datos habían señalado claramente que existían problemas de seguridad, pero sus advertencias fueron desoídas. En ambos casos, el infiltrado se quejó e hizo sugerencias para corregir las vulnerabilidades de seguridad y mejorar las políticas de la empresa. A pesar de la gravedad de estos problemas de seguridad, estos fueron ignorados, por lo que los infiltrados consiguieron descifrar docenas de contraseñas de una gran cantidad de usuarios. Para demostrar su punto de vista, uno de los «infiltrados» informó de sus resultados, sin embargo, el otro decidió utilizar las contraseñas para acceder a otros sistemas.

El más mínimo error

Incluso el usuario más serio y bienintencionado puede hacer clic accidentalmente en un enlace o un archivo defectuoso. Desgraciadamente, los intentos de phishing se han vuelto cada vez más sofisticados, y estos son capaces de hacerse pasar fácilmente por un correo electrónico legítimo de una fuente conocida o de un compañero que comparte un enlace a una factura o un documento de Word. No obstante, esos enlaces o archivos pueden esconder peligrosos ransomwares o criptovirus que son capaces de destruir datos, congelar sistemas o provocar el caos en su infraestructura informática. Por suerte, estos incidentes se pueden prevenir gracias a medidas de seguridad que bloquean el malware y evitan que los procesos maliciosos avancen en la infraestructura, ya sea con mala intención o por error.

Equivocarse es de humanos, al igual que lo es proteger la infraestructura de su organización.

Entonces, ¿en quién puedo confiar?

La tecnología que se utiliza en las empresas de hoy en día es más potente que nunca. El trabajo a distancia, las soluciones basadas en la nube, las OT conectadas… Las herramientas y los sistemas están ayudando a aumentar la productividad e impulsar la transformación digital. Pero esta mayor visibilidad de las tecnologías de la información y su papel clave en las operaciones de la empresa las somete a un mayor control, especialmente cuando se trata de confiar en quienes tienen acceso a esta (ahora crítica) infraestructura.

Por ello, el llamado enfoque de confianza cero o «Zero Trust» en las políticas internas y la seguridad es clave. Esto no quiere decir que los empleados leales y los contratistas de larga duración no sean dignos de confianza, sino que, para proteger los sistemas y los datos de las amenazas internas, una organización debe aplicar ciertas medidas clave para controlar, gestionar y supervisar tanto el acceso como las identidades.

Establezca una visión global de quién tiene acceso a qué recursos y aplicaciones y cómo cada persona utiliza este acceso. Además, proteja sus activos de las amenazas internas con una completa gestión de identidades y accesos:

Privileged Access Management – Proteja sus activos informáticos más sensibles, con una supervisión y un control exhaustivos de los privilegios de los usuarios en los recursos críticos.
Identity-as-a-Service (IDaaS) – Centralice y simplifique la gestión de identidades en todas las aplicaciones corporativas para todos los usuarios, mediante SSO y MFA.
Endpoint Privilege Management – Proteja los endpoints vulnerables de la empresa dentro y fuera del perímetro corporativo eliminando los privilegios de administrador local y sin obstaculizar la productividad.

La seguridad no tiene por qué dar miedo. Los fantasmas de los infiltrados del pasado ya no tienen por qué acechar a su infraestructura de IT y crear vulnerabilidades en su organización. Con soluciones de ciberseguridad simplificadas y sólidas, no hay que temer a las amenazas internas.

Si desea obtener más información sobre cómo las soluciones de ciberseguridad simplificada de WALLIX ayudan a proteger su empresa, póngase en contacto con nuestro equipo de expertos.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Los fantasmas no serán reales, pero las amenazas internas sí que lo son

Aunque los hackeos suelan ser anónimos, hay ciberdelincuentes a los que sí se les puede poner cara…

Entonces, ¿qué es lo que está pasando y por qué hay que preocuparse?

El riesgo de las cuentas huérfanas

Daños y datos perdidos

Vulnerabilidades explotadas

El más mínimo error

Entonces, ¿en quién puedo confiar?

Mantener la visibilidad sobre el acceso remoto con la Gestión de Sesiones

Conformidad con la norma ISO 27001

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca