La era posterior a la pandemia se puede describir acertadamente como una era dorada para los ciberdelincuentes, con un aumento monumental en la cantidad de delitos cibernéticos en todo el mundo. Las bandas de delincuentes cibernéticos están disparando a toda máquina, lanzando un aluvión de amenazas cibernéticas sofisticadas que causan daños significativos a organizaciones de todos los tamaños en todos los sectores. Pero algunas amenazas crecen un poco más cerca de casa. En una encuesta reciente de Cybersecurity Insiders, más del 60 % de las empresas experimentaron un ataque interno en 2022, y muchos de esos ataques tuvieron resultados costosos y dañinos. Tres cuartas partes de los encuestados dijeron que se sienten de moderada a altamente vulnerables a las amenazas internas, un aumento del 8 % con respecto a 2021. Todas las empresas deben abordar el creciente problema del riesgo interno de inmediato.

Las amenazas internas malintencionadas no son el vector de ciberataque más importante para las empresas. En el Informe de respuesta a incidentes de la Unidad 42 de 2022 de Palo Alto Networks , los ataques internos representaron solo el 5,4 % de los incidentes informados. Sin embargo, incluso este pequeño porcentaje hizo una mella más significativa para las organizaciones, ya que los internos tienen una mejor comprensión de los datos confidenciales y tienen acceso a información privilegiada. Ese pequeño porcentaje de incidentes informados puede provocar daños sustanciales rápidamente. Según el Informe de investigaciones de violación de datos de 2022 de Verizon, los empleados maliciosos están detrás de aproximadamente el 20% de las violaciones de datos. Los ataques en los que están involucrados los internos son, en promedio, diez veces más grandes que los realizados por actores externos.

Un ejemplo reciente de cuánto daño puede causar rápidamente un infiltrado malicioso ayuda a ilustrar el peligro. En noviembre de 2022, surgieron noticias sobre un grupo de piratas informáticos, WhiteInt, cuyo autor intelectual era un director asociado de la unidad cibernética de Deloitte. El grupo de piratas informáticos tenía operaciones en toda la India y ofrecía servicios pagos de acceso a correos electrónicos, datos personales y números de teléfono de VIP para investigadores privados en todo el mundo. Después de ser expuesto en una operación encubierta realizada por The Sunday Times y la Oficina de Periodismo de Investigación, el autor intelectual Aditya Jain fue despedido de Deloitte. Pero el daño ya estaba hecho a la reputación de la empresa.

• ¿Cuáles son los motivos detrás de los ataques internos?

Los ataques internos maliciosos pueden provenir de cualquier persona con acceso adecuado a los sistemas informáticos y los datos de una empresa, incluidos los empleados actuales, los ex empleados, los contratistas, los socios comerciales o los socios comerciales, los proveedores y los vendedores. Más del 90 % de los incidentes internos maliciosos están precedidos por el despido o el despido de un empleado, y si ese empleado todavía tiene una credencial de acceso válida, puede causar estragos rápidamente. Como la mayoría de los otros ataques cibernéticos, el motivo principal de un infiltrado malicioso es la ganancia financiera. Sin embargo, las amenazas internas malintencionadas también pueden resultar del espionaje, las represalias o el rencor hacia el empleador. El robo de datos o información patentada es la principal acción interna maliciosa, pero los empleados descontentos también realizan otros movimientos dañinos.

• Incluso las acciones internas no maliciosas pueden provocar un desastre de datos

Sin embargo, es importante recordar que no todas las amenazas internas son ataques maliciosos. Algunos malos resultados, como una violación de datos, pueden ocurrir debido a la negligencia o ineptitud de los empleados. Muchas de esas amenazas se pueden neutralizar a través de la capacitación en concientización sobre seguridad. Por ejemplo, más del 65 % de las amenazas internas accidentales provienen de empleados que interactúan con un mensaje de phishing. Pero con el ejercicio regular usando la simulación de phishing, las empresas pueden reducir drásticamente la probabilidad de que un empleado caiga en una trampa de phishing. Las amenazas internas provienen de diversas acciones y comportamientos de los empleados, ya sean maliciosos o accidentales. ¿Un estudio de Gartner clasifica las amenazas internas en cuatro categorías: peón, bobo, colaborador y lobo solitario?

1. Los peones: los peones son aquellos empleados que caen en los señuelos de la ingeniería social y entregan su información confidencial a los piratas informáticos mediante la descarga de malware o la divulgación de credenciales en un sitio web falsificado.
2. Los tontos: Los tontos son empleados ignorantes o arrogantes que no siguen los protocolos de seguridad de una organización. En su ignorancia, eluden los controles de seguridad de una organización, dejando vulnerables los datos y otra información confidencial y brindando a los actores de amenazas un fácil acceso a los sistemas y datos. Estos son generalmente actos no maliciosos. El informe de Gartner descubrió que los errores causan el 90 % de los incidentes internos.
3. Los colaboradores: Los colaboradores, también conocidos como turncloaks, colaboran con personas ajenas, como competidores de la empresa o actores del estado-nación, para robar información privilegiada. Hacen mal uso de su acceso para robar propiedad intelectual que podría provocar interrupciones en las operaciones comerciales, pérdidas financieras y daños a la reputación.
4. El lobo solitario: un lobo solitario actúa de forma independiente sin ninguna influencia externa o manipulación para dañar a sus empleadores. A menudo, el lobo solitario tiene niveles elevados de privilegios y acceso dentro de la empresa, lo que les permite robar información sin que los atrapen. Los lobos solitarios trabajan principalmente por ganancias financieras.

• Estos consejos pueden ayudarlo a prevenir y remediar las amenazas internas

1. Realizar evaluaciones de riesgos: las organizaciones, en todo momento, deben conocer la ubicación de sus activos críticos, las vulnerabilidades y las amenazas que podrían afectarlos. La evaluación de riesgos debe incluir todos los riesgos causados ​​por amenazas internas. Después de eso, priorice los riesgos y mejore su ciberdefensa de acuerdo con la prioridad del riesgo.
2. Actualice y haga cumplir continuamente las políticas de seguridad: el panorama de amenazas evoluciona continuamente; por lo tanto, debe actualizar sus políticas de seguridad con regularidad para frustrar las amenazas. Además, trabaje más duro para implementar estas políticas de seguridad para todos los empleados que interactúan con su entorno de TI.
3. Emplee un centro de operaciones de seguridad (SOC): un SOC monitorea sus vectores de ataque críticos y lo alerta al encontrar actividades sospechosas. Los expertos de SOC detectan y eliminan proactivamente un ataque antes de que pueda dañar su organización.
4. Implemente sistemas de detección y prevención de intrusiones: los sistemas de detección y prevención de intrusiones lo ayudan a monitorear y controlar el acceso remoto desde todos los puntos finales. Puede marcar cualquier actividad inusual, lo que le permite solucionar el problema rápidamente. Además, asegúrese de que todos los accesos remotos a ex-empleados finalicen inmediatamente cuando dejen la organización.
5. Habilite la vigilancia: no todos los ataques internos se realizan a través de medios digitales. Por lo tanto, debe tener una gestión 24/7 de sus instalaciones críticas para evitar el robo de sus recursos esenciales.
6. Supervise la web oscura: la mayoría de los datos robados y la información confidencial aterrizan en los foros de la web oscura para la venta en estos días. Si cae en las manos equivocadas, el futuro de su organización podría estar en peligro. Es por eso que debe monitorear la web oscura en busca de credenciales y otra exposición de información a través del monitoreo de la web oscura. Encontrar la dirección temprano puede ayudarlo a prepararse para cualquier eventualidad.
7. Agregue un componente de ciberseguridad a la desvinculación:  los ex empleados son una amenaza para la seguridad, incluso si se van en buenos términos. Eliminar su acceso a los sistemas y datos es fundamental. Un estudio mostró que el 83% de los ex empleados encuestados dijeron que continuaron accediendo a las cuentas en su lugar de trabajo anterior, y el 89% aún podía acceder a datos confidenciales de la empresa después de dejar la empresa.

Fuente: ID Agent