Los ciberdelincuentes y sus artimañas no son la única amenaza para los sistemas y datos de una empresa. A medida que las organizaciones trabajan para fortalecer sus defensas contra una amplia gama de ciberamenazas persistentes y emergentes, deben prestar atención a todos los vectores de amenaza, incluidos los de cosecha propia. La amenaza que suponen los empleados, contratistas o socios con acceso a información confidencial es un reto polifacético al que se enfrentan todas las empresas. La mayoría de las amenazas internas proceden de errores o simples negligencias de empleados bienintencionados. Sin embargo, toda empresa debe tener en cuenta que, en algún momento, puede tener que enfrentarse a un intruso malintencionado. Explorar cómo un empleado se convierte en un infiltrado malintencionado y cómo han cambiado las motivaciones de los infiltrados malintencionados en los últimos años puede ayudar a las empresas a comprender mejor las amenazas de los infiltrados malintencionados.

¿Cómo se convierte un empleado en un intruso malintencionado?

Nadie quiere creer que alguien de su equipo pueda hacer más mal que bien. Pero, por desgracia, no es infrecuente que los empleados se conviertan en delincuentes. Aunque no todos los incidentes de intrusos malintencionados acaban en una filtración de datos, el estudio de las causas de las filtraciones de datos puede ayudar a comprender mejor el problema. Según el informe de Verizon Data Breach Investigations Report 2023, hay tres razones principales por las que un empleado se convierte en un intruso malintencionado.

1. El dinero: Alrededor del 89% de los intrusos maliciosos están motivados por el dinero. Los empleados motivados por el dinero pueden vender sus credenciales a un Initial Access Broker (IAB) o vender datos en la dark web. Esto supone un aumento del 19% en esta categoría en comparación con 2022. La difícil economía mundial puede ser un factor que contribuya a ese aumento.
2. Venganza: Se estima que el 13% de los intrusos maliciosos tienen en mente vengarse de su empleador cuando actúan. Los empleados descontentos pueden hacer cosas destructivas, como desplegar ransomware en los sistemas de su empresa. El daño puede ser catastrófico, especialmente si el empleado vengativo tiene acceso privilegiado.
3. Espionaje: Alrededor del 5% de los intrusos maliciosos se dedican al espionaje corporativo. Pueden revelar secretos de la empresa a un rival, proporcionar a los ciberdelincuentes información privilegiada sobre las defensas de una empresa o robar propiedad intelectual. Sin embargo, se ha producido un descenso del 20% en este motivador desde 2022.

Principales preocupaciones sobre los intrusos malintencionados y sus acciones

El Informe Global sobre el Coste de las Amenazas Internas del Instituto Ponemon puso de relieve las acciones más probables de los intrusos malintencionados. El robo de datos encabeza la lista, tanto si se filtran por correo electrónico como si se descargan. Alrededor del 45% de los empleados descargan, guardan o envían archivos relacionados con el trabajo antes de marcharse. Esto ocurre con más frecuencia en los sectores de la tecnología, los servicios financieros, la consultoría empresarial y la gestión. Los empleados que han avisado de que se van de una empresa corren un riesgo importante de robar datos como propiedad intelectual: el 70% de los robos de propiedad intelectual con información privilegiada se producen en los 90 días siguientes a la dimisión de un empleado.

¿Cómo ganan dinero los infiltrados maliciosos?

El dinero siempre será la principal motivación de cualquier delincuente, y un infiltrado malintencionado no es una excepción. Estas son algunas de las formas en que los empleados malintencionados pueden beneficiarse de la desgracia de una empresa:

• Uso indebido de sus credenciales: Un agente malintencionado puede utilizar sus credenciales (o las de otra persona) para acceder a información confidencial o dar acceso a sistemas y datos a alguien que no debería tenerlo. En el informe Verizon Data Breach Investigation Report 2023, los investigadores determinaron que las personas con información privilegiada malintencionada causaron 406 incidentes de seguridad de datos a través del uso indebido de privilegios, y 288 resultaron en la divulgación de datos.
• Venta de credenciales: Los intrusos maliciosos motivados por el dinero pueden hacer una buena suma vendiéndolas en la web oscura. Al mismo tiempo, una credencial de red corporativa legítima media cuesta entre 2.000 y 4.000 dólares, por lo que vender una credencial privilegiada es mucho más lucrativo. Las credenciales privilegiadas más codiciadas pueden superar los 120.000 dólares.
• Venta de datos en la red oscura: Los datos son moneda de cambio en la red oscura. Los datos personales reinan como el tipo de datos más caliente en la red oscura, seguidos por los datos médicos en segundo lugar. Los empleados también pueden beneficiarse de la venta de datos privados, como fórmulas, investigaciones (especialmente médicas) y secretos corporativos. Alrededor del 45% de los empleados descargan, guardan o envían archivos relacionados con el trabajo antes de marcharse.

No ignore estas señales de advertencia de actividad maliciosa

Aunque cada intruso malintencionado tiene motivaciones únicas, algunas acciones o comportamientos deben considerarse señales de alarma, ya que a menudo indican la posibilidad de que un empleado tenga intenciones maliciosas. Los empleados recientemente despedidos, degradados o despedidos son riesgos significativos para la seguridad de una empresa. Más del 90% de los incidentes adversos con información privilegiada vienen precedidos por el despido o la rescisión de contrato de un empleado.

Este tipo de comportamientos sospechosos también son señales de alarma que pueden indicar la presencia de un intruso malintencionado:

• Descarga o acceso a grandes cantidades de datos.
• Manejo incorrecto de contraseñas.
• Añadir privilegios no autorizados a su cuenta de usuario.
• Envío de información confidencial a sus cuentas de correo electrónico privadas.
• Instalar programas y aplicaciones no autorizados.
• Se sienten sometidos a un estrés innecesario y poco valorados.
• Tienen graves problemas financieros.

Fuente: ID Agent