Spam. Para nuestro cliente, un pequeño pero creciente minorista online especializado en decoración del hogar artesanal y regalos personalizados, esta palabra de cuatro letras amenazaba toda su marca. La empresa se enorgullecía de su cartera de clientes fieles y de su trato personalizado.
En un momento dado, la tienda online empezó a recibir quejas de clientes por recibir correos electrónicos y llamadas de spam. El spam a menudo hacía referencia a sus compras anteriores en la tienda. Como es lógico, los clientes estaban enfadados y preocupados por la filtración de sus datos de contacto.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
La solución
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Entre las principales funciones de CleverControl utilizadas por la empresa se incluyen:
- Visualización en directo: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Grabaciones de pantalla: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Capturas de pantalla: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Supervisión de aplicaciones y sitios web: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Supervisión de dispositivos de almacenamiento externo: la empresa necesitaba saber si alguien había copiado la base de datos de clientes a una unidad USB u otro dispositivo de almacenamiento externo.
- Supervisión del correo electrónico: en caso de que la base de datos se filtrara a través del correo electrónico, CleverControl registraría la filtración.
- Reconocimiento facial: esta función podría revelar quién tiene acceso a los ordenadores de la oficina, especialmente a los que tienen acceso a las bases de datos de clientes.
- Grabación de vídeo y sonido en zonas específicas de la oficina con las debidas notificaciones: La captura de audio cerca de los puestos de trabajo podría revelar comunicaciones verbales relacionadas con fugas de datos o discusiones no autorizadas.
La investigación
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Las capturas y grabaciones de pantalla mostraron que el usuario exportó un archivo CSV de gran tamaño desde la carpeta de la base de datos de clientes a su escritorio. Poco después copió el archivo a una unidad USB.
Cuando al día siguiente el director general se enfrentó al representante del servicio de atención al cliente por esa actividad sospechosa, éste negó todas las acusaciones. El empleado insistió en que estaba en un bar con unos colegas en el momento del incidente, y estos confirmaron sus palabras.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
Resolución
Los datos recopilados por CleverControl detectaron una amenaza interna. El asistente de marketing fue el responsable del robo de la base de datos de clientes. La exportación de archivos, la transferencia de USB, la actividad fuera del horario laboral y la búsqueda de empleo apuntaban a un intento deliberado de robo de datos.
Cuando se le presentaron los registros detallados de actividad de archivos y los registros de conexiones USB, la asistente de marketing confesó haber descargado y copiado la base de datos de clientes. Sabía que el representante de atención al cliente olvidaba a menudo bloquear su ordenador y aprovechó la oportunidad para robar datos confidenciales. La asistente lo hizo hace unos meses y pretendía vender una base de datos actualizada a un competidor para complementar sus ingresos mientras buscaba un nuevo empleo.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
El CEO también implantó controles de acceso más estrictos a la base de datos de clientes, autenticación multifactor y una mayor formación de los empleados sobre seguridad de datos y responsabilidades éticas.
Conclusión
CleverControl desempeñó un papel vital en la detección de amenazas internas en este caso. Proporcionó las pruebas necesarias para identificar rápidamente al ladrón de datos y tomar medidas rápidas para mitigar los daños y prevenir futuros incidentes. Además, este caso pone de relieve que confiar únicamente en los registros de archivos o en el seguimiento de la actividad puede ser engañoso. El reconocimiento facial sirvió como capa de reconocimiento adicional y ayudó a identificar al usuario real que cometió el robo. CleverControl demostró ser inestimable no sólo para la supervisión de la seguridad, sino también para garantizar la imparcialidad y la precisión en las investigaciones internas.




