Existen muchos tipos de problemas de seguridad, tanto en el mundo de la tecnología como fuera de él, y uno de estos es lo que se conoce como amenaza interna. Dentro del sector IT, este tipo de amenaza es una de las más complejas de enfrentar, por eso hoy te vamos a contar todo lo que necesitas saber al respecto y cómo defenderte.
Contenido
¿Qué es una amenaza interna?
El concepto de amenaza interna es uno de los más viejos del sector, y se trata de una amenaza de seguridad que se origina dentro de una empresa, organización o institución. Es lo opuesto a las amenazas externas, es decir esas que vienen desde afuera, como intentos de hackeo, ataques de fuerza bruta, DDoS, etc.
Una amenaza interna se origina en alguien que tiene acceso legítimo a un sistema o a una red, es decir que puede tratarse de empleados, vendedores, contratistas e incluso ex miembros del staff. Ya sea con o sin intención, las amenazas internas se pueden convertir en un gran peligro para la seguridad si no son tratadas correctamente, y pueden derivar en robos de información, interrupciones en servicios y pérdidas financieras.
Tipos de amenazas internas
Cualquier amenaza interna se puede clasificar dentro de tres categorías principales:
- Usuarios maliciosos: estos son individuos que tienen malas intenciones y buscan causar un mal de manera adrede. Con frecuencia están motivados por ganancias personales, venganza o simplemente ideología. Entre sus maniobras se suelen encontrar el robo de información sensible, el sabotaje de sistemas y la filtración de información confidencial.
- Usuarios negligentes: esta categoría de amenaza interna está compuesta por individuos que causan un problema por falta de cuidados o por falta de conocimientos en materia de seguridad. A menudo usan contraseñas débiles o son víctimas de ingeniería social y de ataques de phishing.
- Usuarios comprometidos: aquí encontramos a los usuarios cuyo dispositivo o cuenta ha sido controlada por un atacante externo. Si bien el ataque viene de fuera, se está obteniendo acceso mediante un sistema legítimo o un dispositivo autorizado. Por su naturaleza este tipo de amenaza interna es la más difícil de detectar.
Ejemplos comunes de una amenaza interna
Veamos a continuación algunos ejemplos comunes de amenazas internas que se suelen encontrar.
En primer lugar podemos hablar sobre el robo de datos por parte de empleados descontentos. Este es quizá el tipo más común, y básicamente se da cuando alguien roba datos del lugar donde trabaja. Esta información puede ser muy valiosa ya que puede tratarse de listas de clientes, datos sensibles, registros financieros y más, todo lo cual puede ser vendido a un competidor o usado con otros propósitos.
Otro caso muy común es el de la exposición accidental de datos, por ejemplo si una persona sube un archivo confidencial a una carpeta pública o a un lugar donde puedan verlo otras personas que no tengan autorización para hacerlo.
El caso de compartir credenciales de acceso también es típico de una amenaza interna, por ejemplo si una persona le presta sus credenciales de acceso a otra. En la misma línea podemos encontrar a quienes utilizan credenciales débiles como por ejemplo contraseñas muy sencillas.
Y otro caso no tan común como los anteriores, pero igual de peligroso, se da cuando una persona conecta un dispositivo no autorizado, puede ser por ejemplo si se conecta una memoria USB infectada con malware a una computadora, o un teléfono móvil que se encuentre comprometido y acceda a la red de la empresa.
Señales de alerta
Al igual que ocurre con la mayoría de problemas de seguridad, las amenazas internas también tienen sus señales de alerta, y si sabemos identificarlas ya estaremos un paso por delante. Algunas de estas “red flags” incluyen:
- Accesos inusuales: por ejemplo accesos fuera del horario de trabajo, en la madrugada, desde localizaciones extrañas o accesos a sistemas que normalmente no se requieren.
- Descarga o transferencia de archivos: la descarga de archivos y transferencia de datos, particularmente de aquéllos que sean sensibles o que no deberían ocurrir, es otra clásica alerta de una posible amenaza interna.
- Ignorar protocolos de seguridad: si una persona con frecuencia ignora las políticas de seguridad de la empresa, como puede ser por ejemplo no utilizar autenticación multifactor (MFA), puede dar lugar a una amenaza interna, lo mismo si descarga cosas extrañas de Internet o si usa herramientas no autorizadas.
- Problemas de recursos humanos: a menudo se observa que los empleados descontentos o aquéllos relacionados a problemas con recursos humanos suelen representar un mayor riesgo de actuar de manera maliciosa.
Cómo prevenir una amenaza interna
Lo cierto es que debido a su naturaleza las amenazas internas no son fáciles de prevenir, sin embargo se pueden tomar determinadas medidas para tratar de reducir todo lo posible las posibilidades de que se produzcan. Prevenir una amenaza interna implica una combinación de tecnología, políticas internas y cultura de seguridad.
Primero que nada, una de las mejores medidas que se pueden tomar es el limitar el acceso según el rol del usuario, es decir que una persona solo pueda acceder a lo que requiera para realizar su trabajo y nada más. Cualquier permiso extra se convierte en un riesgo para la seguridad interna.
En segundo lugar, es importante que los empleados estén entrenados en políticas de seguridad y sepan identificar maniobras de phishing, ingeniería social, etc., así como también deben saber cómo manejar cualquier información sensible que tenga que pasar por sus manos. Implementar un modelo Zero Trust es una excelente opción.
El monitoreo también es muy imprescindible, ya que esto nos permite seguir la actividad de los usuarios y ver qué han hecho, a cuáles sistemas han accedido, etc., así se puede identificar si hay accesos fuera de lugar, fuera de horario o si se realizan actividades extrañas, como por ejemplo la descarga de información no autorizada.
Finalmente, algo muy importante que nunca se debe pasar por alto son los procedimientos que se realizan cuando una persona deja de trabajar en un lugar, ya sea por despido o por renuncia. Las credenciales de acceso de la persona deben ser desactivadas de inmediato, y si por alguna razón se comparten credenciales de acceso (según el modelo de trabajo) también deben modificarse.
Cómo balancear la seguridad y la confianza
Quizá el mayor desafío a la hora de lidiar con amenazas internas es cómo lograr un balance perfecto entre la seguridad y la confianza, porque por supuesto si una persona trabaja en un lugar se debe poder confiar en ella, aunque claro, sin descuidar la seguridad. ¿Cómo se logra esto exactamente? Pues a grandes rasgos podemos hablar de tres claves:
- Transparencia: es importante que la persona conozca las políticas de seguridad y de monitoreo de la empresa y por qué existen, dejando claro que lo que se busca no es realizar espionaje interno, sino proteger a la compañía y a la gente que allí trabaja.
- Empoderar: para detectar amenazas internas es imprescindible la colaboración del staff, animándoles a reportar cualquier actividad sospechosa que vean o cualquier vulnerabilidad que detecten, sin ningún miedo a represalias.
- Balance: hay que implementar controles de seguridad que sean efectivos pero a su vez que no se vuelvan intrusivos para las tareas que se deben desarrollar. Las restricciones excesivas no solamente afectan a la productividad, sino también a la moral del personal.
Herramientas recomendadas
Para combatir las amenazas internas existen algunos tipos de herramientas que vienen muy bien, así que veamos cuáles son:
- Sistemas DLP: esta sigla viene de “Data Loss Prevention» (Prevención de Pérdida de Datos) y consiste en sistemas utilizados para monitorear y restringir el movimiento de información sensible. Pueden bloquear intentos no autorizados de compartir datos, así como alertar a los administradores sobre actividad sospechosa.
- Herramientas SIEM: su nombre viene de “Security Information and Event Management” (Gestión de Información y Eventos de Seguridad), y se trata de herramientas que recogen y analizan registros en tiempo real, ayudando a detectar patrones inusuales.
- Sistemas IAM: este tipo de sistemas son utilizados para asegurar que cada usuario tenga los privilegios de seguridad que necesita para realizar su trabajo y ninguno más. Permiten forzar el uso de credenciales seguras, administrar permisos y ver quién accedió a qué y cuándo.
- Herramientas EDR: esta clase de herramientas se encargan de buscar actividad maliciosa en dispositivos dentro de la red de la empresa, ayudando a investigar incidentes que involucren computadoras y dispositivos móviles por igual.
Conclusión
Enfrentar una amenaza interna es uno de los retos más delicados dentro del mundo de la seguridad informática, precisamente porque involucra a personas en las que, en teoría, se debe confiar. Por supuesto, confiar no significa dejar la puerta abierta.
La clave está en implementar medidas que protejan sin entorpecer, fomentar una cultura de seguridad sólida y mantener siempre un monitoreo adecuado.
Y no se trata de desconfiar de todos, sino de entender que cualquier sistema puede ser vulnerable si no es gestionado correctamente. Con las herramientas adecuadas, buenas prácticas y un enfoque humano, es posible reducir el riesgo y mantener a salvo tanto la información como el entorno de trabajo.