En el año 480 antes de Cristo, Efialtes traicionó a las fuerzas espartanas al revelar un camino oculto en la montaña que permitió al ejército persa flanquear y derrotar a las fuerzas griegas. En 1985, Richard Miller, agente del FBI, fue detenido por espionaje tras descubrirse que había facilitado documentos clasificados a los rusos, exigiendo a cambio oro y dinero. Con ambos ejemplos queda claro que las amenazas internas no son un problema exclusivo de la era digital, aunque lo más interesante de todo es que la mayoría de estos casos han sido consentidos.
Por lo general, es muy raro que haya empleados con información privilegiada que sean verdaderamente maliciosos y, además, existen recursos legales a los que se puede recurrir a través de los contratos de trabajo. Aun así, siempre existirá personal negligente que tome atajos y cometa errores a pesar de cualquier formación que se les dé para que actúen en sentido contrario. Y cuando los CISO llevaban este asunto a la sala de juntas, por desgracia solían ser recibidos con espanto y se les preguntaba por qué no confiaban en sus compañeros de trabajo.
Luego, ¿qué ha cambiado y por qué las amenazas internas son ahora un tema en la agenda directiva de las empresas? Hay tres razones principales relacionadas entre sí: los atacantes han cambiado de táctica, los empresarios tienen menos familiaridad con su personal y los controles que mantenían a raya las amenazas internas son menos eficaces.
Desarrollo de nuevas técnicas de ataque
Un factor clave, detrás de la escalada de amenazas internas, es que los atacantes se centran en el robo de credenciales como principal vía de ataque. Por ejemplo, un informe de Verizon sobre brecha de datos en 2023 muestra que el 49 por ciento de todas las infracciones exitosas utiliza ahora credenciales robadas. Es muy sencillo: si un atacante puede iniciar sesión como lo hiciese el usuario, tendrá acceso a todos sus sistemas, datos y privilegios sin tener que preocuparse de configuraciones de cortafuegos, niveles de parches o días cero. Este modelo de ataque es enormemente simplificado, pero también flexible.
Al utilizar una identidad real, los delincuentes pueden ampliar su cadena de ataque utilizando como arma la confianza que mantiene la identidad pirateada. Cuando los compañeros de trabajo, proveedores y familiares reciban correos electrónicos de la cuenta comprometida, los tomarán en serio y la probabilidad de un clic erróneo, un compromiso imprudente o un pago equivocado será mucho mayor. Esta instrumentalización de la confianza es la razón por la que actualmente la mayoría del malware acecha en lugares en los que los usuarios confían habitualmente como OneDrive, SharePoint y Dropbox.
Falta de familiaridad con el personal
Desde la Covid, todo lo relacionado con el trabajo y la vida personal ha cambiado. Cada vez menos gente va a la oficina y la asistencia obligatoria a veces es un obstáculo para muchos solicitantes de empleo. Muchos empleados son contratados y trabajan a distancia, por lo que la oportunidad de establecer una verdadera conexión con ellos es cada vez menor.
Esto extiende el perímetro organizativo, permitiendo al personal que utilice su propio hardware para el trabajo, con lo que aceptamos cualquier vulnerabilidad en su entorno doméstico que haga que el malware localizado capture entradas de teclado o de la pantalla. También se permite el acceso a datos desde cualquier lugar, lo que aumenta el reto de garantizar que estos fluyan a los lugares correctos al mismo tiempo que agrava la probabilidad de fugas o filtraciones de datos.
De hecho, como muchas empresas aprendieron durante el fenómeno de la ‘gran dimisión’, el personal puede decidir llevarse consigo datos corporativos cuando dejan su puesto, pudiendo causar graves daños. De hecho, el 82 por ciento de los directores de sistemas de información que sufrieron una pérdida de datos afirmó que el hecho de que un empleado abandonara la empresa tuvo algo que ver en ese incidente. La incapacidad para rastrear y controlar los datos a medida que fluyen hacia lugares cada vez más remotos es una de las principales causas de estas pérdidas de datos.
Los controles existentes están fallando
Muchos de estos problemas deberían poder solucionarse, pero el trabajo que hacen los ciberdelincuentes con sus decisiones tecnológicas, investigación y desarrollo han debilitado las capacidades de los controles existentes.
Uno de los controles habituales de amenazas internas es tener una línea directa de denuncia por irregularidades, en la que el personal puede informar de comportamientos sospechosos, preocupaciones o conductas extrañas de compañeros como, por ejemplo, que aparezcan de repente en el trabajo conduciendo un Ferrari. El modelo de teletrabajo ha devaluado enormemente este control, ya que el personal rara vez pasa tiempo junto, interactuando solo a través de videollamadas y correo electrónico, por lo que las tendencias, los comportamientos y las opiniones son mucho más fáciles de ocultar.
Por otro lado, el traslado de los datos críticos de la empresa a la nube y la adopción de múltiples canales de comunicación en tiempo real (como WhatsApp) también lleva a muchas herramientas de prevención de fuga de datos (DLP) más allá de sus capacidades, por lo que ahora los datos sensibles pueden duplicarse fácilmente y moverse fuera de la visión de los controles existentes.
Durante muchos años, la autenticación multifactor (AMF) se percibió como un potente control para evitar el compromiso de la identidad y el acceso. Por desgracia, los atacantes han desarrollado herramientas como EvilProxy para facilitar el robo y la elusión de la AMF, por lo que incluso esta protección de confianza ya no es tan eficaz como antes.
¿Y ahora qué pasa con la gestión de las amenazas internas?
Acerca de los modelos que ayudarán a la reevaluación de las amenazas internas, la AMF sigue siendo un control esencial, así que no hay que saltársela. Debe aplicarse, sin embargo, de forma más dinámica para plantear un desafío más sólido a un atacante. Por ejemplo, con solicitudes repetidas de AMF antes de transacciones críticas, o bien cuando se considere que el usuario está trabajando bajo riesgo en una nueva ubicación o con un nuevo dispositivo.
El aumento de los niveles de supervisión del comportamiento debería servir de apoyo. Ahora bien, es difícil definir todas las actividades sospechosas que intentará un usuario, aunque hay actividades clave que un usuario normal no hará, como cambiar la extensión de un archivo o crear un archivo ZIP concatenado y protegido por contraseña. Hay que empezar por ahí, además de evitar que el personal del centro de operaciones de seguridad se ponga a perseguir al usuario automatizando la recopilación de pruebas de comportamiento e información sobre amenazas antes de abrir un ticket.
Por último, se debe buscar implementar una solución DLP que esté diseñada para la realidad multicloud en la que operan ahora los usuarios. Los datos han salido del perímetro y nunca volverán, por lo que el uso de puertas de enlace de DLP anticuadas no rastreará la duplicación y difusión no autorizadas de datos, aunque cada vez que esto ocurra será una señal de alarma de amenaza interna.
La escala de posibles daños ha aumentado
Según Verizon, el 83 por ciento de los ciberataques se inició externamente y solo el 19 por ciento internamente, pese a que algunas brechas fueron por ambas causas. La mayoría de estos ataques tenía un motivo financiero frente a otros pocos que se debían a rencores, venganzas o diferencias ideológicas.
Así pues, aunque la cantidad de amenazas internas maliciosas y negligentes no ha cambiado mucho, la escala del daño que pueden causar a una empresa ha aumentado. Sin embargo, son las amenazas externas que ponen en peligro las credenciales legítimas a escala industrial las que han cambiado por completo las reglas del juego y han hecho que las amenazas internas ocupen un lugar prioritario en la agenda de directivos de organizaciones. Tan solo hay que recordar que, en este entorno de trabajo digital, los ciberdelincuentes no piratean, se conectan.