A medida que los gobiernos y las organizaciones aumentan la protección de sus datos e infraestructuras en respuesta a los casos federales de denuncia de irregularidades, ¿qué peligro suponen los confidentes malintencionados y negligentes y qué tipo de amenazas internas existen? ¿Cómo diferenciarlas?
Definición de dolo y negligencia
Según el equipo de respuesta a emergencias informáticas(CERT) de la Universidad Carnegie Mellon, un intruso malintencionado es un empleado o contratista actual o anterior que ha explotado o sobrepasado deliberadamente el nivel autorizado de acceso a la red, el sistema o los datos de forma que ha afectado a la seguridad de los datos, los sistemas o las operaciones empresariales diarias de la organización.
Sólo una pequeña parte de los incidentes con información privilegiada se planifican y ejecutan intencionadamente. Muchos incidentes son causados por negligencia. Puede tratarse de un empleado que involuntariamente sobrepasa los niveles de acceso autorizados, permitiendo posiblemente a otros actuar en su nombre, y perjudicando así a la organización. Una parte externa o interna maliciosa puede entonces ser la culpable detrás del incidente final. En una encuesta realizada en 2019 por Forrester Research, el 57% de los encuestados atribuyó sus ataques internos a una intención maliciosa, el 35% a un mal uso inadvertido y el 7% a una combinación de estos.
Recientemente hemos visto casos en los que personas ajenas a la empresa intentan [y fracasan] explotar a personas internas mediante sobornos y otros medios. A mediados de 2020, un ciudadano ruso ofreció a un empleado de Tesla un millón de dólares para introducir malware en la red informática de la fábrica de subensamblaje de vehículos eléctricos de la empresa, cerca de Reno (Nevada).
Según el FBI, una vez implantado el malware , el ciudadano ruso y sus socios planeaban acceder a los archivos internos de Tesla, filtrar datos y chantajear a la empresa para que pagara un rescate. Al parecer, los delincuentes incluso dieron al empleado un teléfono desechable y le ordenaron que lo dejara en modo avión hasta que se transfiriera el dinero. Pero el empleado, que tenía acceso directo a la red de la empresa, se puso en contacto con el FBI para que le ayudara a atrapar a los presuntos culpables.
Información privilegiada maliciosa
En el caso de los intrusos malintencionados, el objetivo suele ser la destrucción, la corrupción o el robo. Mientras que el robo suele tener un beneficio monetario, la destrucción y la corrupción pueden tener su origen en empleados descontentos y dirigirse contra la organización en su conjunto o contra compañeros de trabajo concretos. En resumen, todo depende de la intención.
Por ejemplo, un infiltrado descontento decide robar las credenciales de un compañero de trabajo e iniciar sesión con ellas para ver sitios web dudosos. El objetivo final es desacreditar al compañero de trabajo haciendo que los informáticos se den cuenta de las infracciones y las denuncien a recursos humanos o al jefe del compañero. Por simple que parezca este ejemplo, contiene una serie de patrones comunes de preparación y ejecución que pueden encontrarse en muchos casos de amenazas internas. A menudo se revelan y observan mediante el empleo de la tecnología.
La primera fase es de exploración y experimentación, durante la cual el intruso descontento averigua cómo robar las credenciales, por ejemplo mediante búsquedas en Google. A continuación, el intruso prueba varios métodos de extracción para asegurarse de que funcionan en el entorno local.
Una vez elegido un método viable, el infiltrado pasa al modo de ejecución robando y utilizando las credenciales del compañero de trabajo. El último paso es la huida o evasión mediante la eliminación y borrado de pruebas que podrían conducir al infiltrado descontento. Todo el proceso se parece mucho al método que utilizaría un agente externo.
Información privilegiada negligente
El siguiente ejemplo demuestra que un infiltrado descontento puede actuar en nombre de una parte externa para infligir un daño significativo a una empresa.
Un tercero solicita al administrador de sistemas de una pequeña empresa tecnológica que instale un software de supervisión en la red de la organización a cambio de dinero. El administrador de sistemas, recientemente degradado, decide instalar el software antes de abandonar la empresa en busca de otro trabajo.
Una vez más, el infiltrado primero explora y experimenta instalando el software en una máquina de prueba para medir su huella en la red y su detectabilidad en la red. Convencido de que el software no puede ser descubierto o rastreado fácilmente, el infiltrado lo instala utilizando la cuenta de un compañero de trabajo y borra las pruebas.
El intruso negligente no está robando información de forma activa y no se beneficiará directamente de sus acciones, mientras que el intruso malicioso sí lo hará.
¿Hasta qué punto es grave la amenaza procedente del interior de las organizaciones?
Curiosamente, las categorías más frecuentes de incidentes con información privilegiada se referían a la exposición no intencionada de datos sensibles por parte de una persona con información privilegiada negligente y al robo de propiedad intelectual por parte de una persona con información privilegiada malintencionada.
A la luz de estas cifras, si todavía piensa que su organización está a salvo, tenga en cuenta que el 87% de los trabajadores de oficina se llevarán datos consigo cuando cambien de trabajo, y las organizaciones suelen tener una tasa de rotación anual de alrededor del 3%.
Según una encuesta realizada por Forrester Research en 2019, el 52% de los responsables de la toma de decisiones de seguridad de redes empresariales globales informaron que sus empresas experimentaron al menos una violación de datos confidenciales durante los últimos 12 meses. Y casi la mitad de las brechas de datos sensibles llegaron a manos de actores internos, ya sea por malas decisiones o intenciones maliciosas. Los equipos de seguridad suelen prepararse para las amenazas internas supervisando y auditando el acceso, con la esperanza de que, si falla la detección proactiva, al menos puedan realizar un análisis forense cuando se produzca un incidente.
Obviamente, este enfoque rara vez proporciona a los equipos de seguridad el tiempo de antelación necesario para interceptar los daños antes de que se produzcan. El santo grial de la resistencia a las amenazas internas pasa por la capacidad de detectar una amenaza incluso antes de que se produzca, cuya promesa es evidente tanto por la inversión privada como por la investigación del Gobierno estadounidense. Pero la patología de un insider malicioso es muy compleja. Un insider suele tomar precauciones para eludir la detección, así que ¿cómo podría una solución informática identificar de forma fiable qué es una amenaza y qué no lo es?
Los últimos avances tecnológicos han mostrado un progreso significativo hacia la predicción o anticipación de lo que antes se consideraba intratable: las preferencias, disposiciones e incluso el comportamiento humanos. Sistemas como Alexa, Siri y Cortana incluso parecen anticiparse periódicamente a las necesidades de los usuarios antes de que estos las hayan expresado.
Es el Mes nacional de concienciación sobre las amenazas internas. Si desea saber cómo puede ayudarle Vectra , puede programar una demostración.