Riesgos de amenazas internas y cómo detectarlas mediante la supervisión de los empleados

A diferencia de las amenazas externas, como la irrupción de piratas informáticos desde el exterior, las amenazas internas proceden de personas que están dentro de su organización. Pueden ser sus empleados, directivos, socios o contratistas, es decir, cualquiera que tenga acceso legítimo a los datos, sistemas e instalaciones confidenciales y lo utilice de forma que perjudique a su empresa.

Las amenazas internas se presentan de muchas formas, cada una de las cuales requiere métodos de detección ligeramente diferentes. A grandes rasgos, podemos clasificarlas en internas maliciosas, internas negligentes e internas comprometidas.

Cuando pensamos en amenazas internas, lo primero que nos viene a la mente suele ser este tipo. Los intrusos malintencionados infligen daños intencionadamente por venganza tras haber sido rechazados para un ascenso o haberse enfrentado a medidas disciplinarias, por motivos ideológicos o incluso por diversión. Sin embargo, la mayoría absoluta de los incidentes con información privilegiada maliciosa, el 89%, están motivados por el beneficio económico personal. Los intrusos pueden:

• Robar datos confidenciales de clientes, secretos comerciales o información financiera para venderlos a la competencia o en beneficio propio.

• Sabotear la empresa borrando archivos críticos, interrumpiendo los sistemas o instalando malware.

• Manipular registros financieros, crear cuentas fraudulentas o malversar para enriquecimiento personal.

• Robar diseños, fórmulas u otra propiedad intelectual para venderlos a la competencia o crear su propia empresa.

Los infiltrados maliciosos no son superagentes encubiertos. Pueden ser el administrador de sistemas descontento que, sintiéndose infravalorado, borra bases de datos de clientes críticos antes de abandonar la empresa. O un representante de ventas que exporta sistemáticamente datos para venderlos a la competencia y así cubrir las facturas que se le acumulan. Los "insiders" malintencionados son empleados normales que perjudican deliberadamente a la organización. Sin embargo, son responsables del 25% de los incidentes de amenazas internas.

No todas las personas con información privilegiada actúan con malicia. Los empleados negligentes no quieren dañar a la organización deliberadamente, pero sus errores involuntarios y su comportamiento descuidado pueden causar tanto daño como las acciones maliciosas. Un asombroso 88% de todos los incidentes de violación de datos son causados o empeorados significativamente por errores de los empleados. Los empleados negligentes a menudo carecen de la concienciación o la formación necesarias para reconocer la amenaza o simplemente son imprudentes. Sus siguientes acciones pueden provocar graves violaciones de la seguridad:

• hace clic en enlaces de correos electrónicos de phishing, descargando sin saberlo programas maliciosos en los dispositivos de la empresa;

• utilizar contraseñas fáciles de adivinar o reutilizar contraseñas en varias cuentas;

• almacenar datos sensibles en lugares no seguros;

• compartir información confidencial a través de canales no cifrados;

• saltarse los protocolos de seguridad establecidos, desactivar el software de seguridad o ignorar las políticas de seguridad por comodidad o falta de comprensión;

• enviar por error información sensible a un destinatario equivocado;

• divulgación o publicación involuntaria de información personal y otros errores humanos.

Un ejemplo de información privilegiada negligente puede ser un empleado de cuentas por pagar que recibe un correo electrónico aparentemente legítimo. En él se le pide que actualice los datos bancarios de un proveedor. El empleado no comprueba a fondo el correo electrónico del remitente, hace clic en el enlace, introduce las credenciales en una página de inicio de sesión falsa y, sin saberlo, concede a los hackers acceso al sistema financiero de la empresa.

Como resultado de una negligencia, la cuenta de un empleado puede verse comprometida por agentes externos. El ladrón de credenciales adquiere las credenciales de inicio de sesión legítimas de un empleado a través de phishing, malware u otros métodos. El atacante actúa entonces como ese empleado, robando datos confidenciales o realizando otras actividades maliciosas. El robo de credenciales es la causa del 20% de los incidentes de amenazas internas.

Entonces, ¿cómo detectar las amenazas internas y prevenirlas? Como ya se ha dicho, los métodos de seguridad tradicionales son eficaces contra los ataques externos, pero a menudo no detectan los peligros internos. Ahí es donde entra en juego la supervisión de los empleados.

Si la supervisión de los empleados se aplica de forma estratégica y ética, permite a las organizaciones ver los procesos de trabajo, el comportamiento y las comunicaciones del personal. De este modo, los especialistas en seguridad pueden identificar comportamientos anómalos, infracciones de las políticas e indicios de intenciones maliciosas que, de otro modo, podrían pasar desapercibidos.

Exploremos las principales funciones de supervisión de empleados para la detección de amenazas internas y cómo pueden revelar a los actores maliciosos.

La Prevención de Pérdida de Datos (DLP) es un sofisticado conjunto de funciones para proteger la información sensible de accesos o transmisiones no autorizados. Detecta y ayuda a gestionar posibles fugas de datos, exfiltraciones, usos indebidos y exposiciones accidentales.

Los sistemas DLP identifican la información sensible dentro de la organización y actúan como centinelas digitales. Rastrean el movimiento de la información confidencial, señalan los intentos no autorizados de transferirla, copiarla en dispositivos externos o almacenamiento en la nube, o imprimirla. Los sistemas DLP también disponen de mecanismos de alerta para notificar el incidente a los especialistas en seguridad y a los directivos.

Un seguimiento meticuloso de los datos sensibles permite a las soluciones de DLP detectar amenazas internas tanto maliciosas como negligentes.

Las herramientas de análisis del comportamiento de usuarios y entidades (UEBA) utilizan técnicas avanzadas de análisis, como la IA y el aprendizaje automático, para detectar comportamientos anómalos y posibles amenazas a la seguridad en la red de una organización. En primer lugar, UEBA analiza la actividad de usuarios (empleados, clientes y contratistas) y entidades (aplicaciones, dispositivos y servidores) para establecer patrones de referencia de actividad normal. Después, el sistema supervisa continuamente el comportamiento de los usuarios y entidades y lo compara con las líneas de base establecidas. Si detecta alguna desviación de la norma, la señala como amenaza potencial para la seguridad. A cada anomalía se le asigna una puntuación de riesgo, que aumenta a medida que aumenta el comportamiento sospechoso. Cuando las puntuaciones de riesgo superan los umbrales predefinidos, el sistema alerta al especialista en seguridad o al gestor para que investigue y tome posibles medidas.

UEBA es extremadamente eficaz contra las amenazas internas, las cuentas comprometidas y otros métodos de ataque que pueden eludir las herramientas de seguridad tradicionales. Su eficacia radica en su capacidad para detectar amenazas que no se ajustan a patrones de ataque predefinidos. Al mismo tiempo, UEBA muestra un índice menor de falsos positivos, ya que comprende los patrones de comportamiento normales.

El seguimiento de la actividad de los empleados durante la jornada laboral revela qué sitios web y aplicaciones utilizan. De este modo, las organizaciones pueden detectar el acceso a sitios web no autorizados o de alto riesgo, o el tiempo excesivo en sitios no relacionados con el trabajo (lo que podría ser un signo de falta de compromiso o de planificación maliciosa en algunos casos). El seguimiento de las aplicaciones también puede revelar instalaciones de software no autorizadas que podrían plantear riesgos para la seguridad.

En casos de violación de datos, la monitorización de la actividad ayuda a encontrar al responsable del incidente y a aportar las pruebas necesarias. Uno de nuestros clientes ha compartido recientemente su historia sobre cómo CleverControl les ayudó a descubrir a un infiltrado que vendía sus datos a la competencia. Puede leerlo en amenaza interna caso más en nuestro blog.

La supervisión de las comunicaciones proporciona información sobre el contenido y los patrones de las comunicaciones de los empleados. El sistema supervisa continuamente varios canales de comunicación, como el correo electrónico, las videoconferencias, los archivos compartidos, las herramientas de colaboración y las plataformas de mensajería instantánea. Algoritmos avanzados y la IA analizan los patrones y el contenido de las comunicaciones y examinan los datos recopilados en busca de señales de advertencia. Estas señales pueden ser lenguaje sospechoso o palabras clave relacionadas con fugas de datos, sabotaje o colusión. Cuando el sistema detecta actividades sospechosas, desencadena una respuesta automática o avisa al especialista en seguridad para que actúe de inmediato.

La supervisión de las comunicaciones aumenta significativamente la capacidad de la empresa para resistir las amenazas internas; sin embargo, debe aplicarse con responsabilidad.

Las amenazas internas siguen siendo una preocupación importante para las organizaciones de todos los tamaños. Pueden presentarse de diversas formas, desde intenciones maliciosas hasta simples negligencias y descuidos. Las amenazas internas son tan peligrosas porque las cometen empleados de confianza desde dentro del perímetro de seguridad y, por tanto, son mucho más difíciles de detectar y prevenir. La supervisión de los empleados es una buena solución para detectar y prevenir los riesgos internos. Sus funciones de DLP, UEBA, comunicación y supervisión de actividades constituyen el conjunto de herramientas necesario para cualquier organización que desee detectar y prevenir a tiempo las brechas de seguridad.