Ataques internos: Un riesgo subestimado para la seguridad de los datos

Boletín informativo del primer trimestre de 2024

 

¿Qué son los ataques internos?

Aunque las amenazas externas tales como los ciberataques y el malware llaman significativamente la atención, los ataques internos implican un riesgo igual de importante. Estos son riesgos de seguridad que se originan en individuos que están dentro de una organización, y que explotan su acceso autorizado a datos o sistemas con el fin de dañar la reputación, las finanzas o las operaciones de esa organización.

Estos individuos pueden ser cualquier persona con acceso a datos o sistemas de la organización, incluyendo empleados, contratistas y socios comerciales.

 

¿Qué causa los ataques internos?

Aunque cada caso es distinto, los ataques maliciosos suelen estar motivados por la avaricia (vender propiedad intelectual o información privada por dinero) o por la venganza (empleados descontentos que creen que han sido maltratados). En algunos casos, las ideologías o los valores contrapuestos también pueden tener un rol en el ataque.

Más allá del motivo, los ataques internos pueden tener consecuencias devastadoras para la reputación, la estabilidad financiera y el cumplimiento normativo de la organización.

 

¿Son los ataques internos verdaderamente una causa de preocupación?

Es natural preguntarse si los ataques internos son en verdad un problema lo suficientemente grande como para tener precaución al respecto. Desafortunadamente, la respuesta es sí. Para entender la gravedad de los ataques internos, tenga en consideración las siguientes estadísticas:

  • De acuerdo al Informe de las investigaciones sobre filtración de datos de Verizon de 2020, los ataques internos representaron un 30% del total de las filtraciones de datos.
  • Un estudio de Ponemon Institute afirmó que el costo promedio de los ataques internos en organizaciones alcanzó los $11,45 millones en 2020.
  • En una encuesta de Dtex Systems, el 95% de los empleados admitió mantener actividades no relacionadas al trabajo en sus dispositivos de trabajo.
  • El CERT Insider Threat Center descubrió que en el 90% de los incidentes internos habían estado involucrados empleados actuales.

 

¿Cómo puede ayudar?

Su organización probablemente ya tenga muchos dispositivos de seguridad activos para identificar ataques internos, por ejemplo, revisión de antecedentes, herramientas para monitorear la actividad del usuario y auditorías regulares. Aunque esos dispositivos son clave, no ayudan a prevenir todos los ataques internos, así que su colaboración también tiene un rol importante en mitigar la amenaza.

Puede ayudar a mitigar los ataques potenciales estando alerta a dos señales clave:

  • Cambios de personalidad: ¿Está un colega de trabajo mostrando, de pronto, una actitud hostil, secretismo injustificado o bronca excesiva hacia la organización o la dirección?
  • Cambios de procedimiento: ¿Ve a un colega tomando acciones que violan la política de seguridad? Por ejemplo, ¿intentó ganar acceso no autorizado a datos sensibles, sistemas o instalaciones o le preguntó detalles de un proyecto confidencial en el que no está involucrado?

Si la respuesta a alguna de estas preguntas es sí, hay posibilidades de un ataque interno.

Si está en una posición de liderazgo, asegúrese de seguir el principio del mínimo privilegio, la mejor práctica que comúnmente se usa para asegurarse de que todo el personal tenga solamente la mínima cantidad de privilegios de acceso necesarios para hacer su trabajo.

En otras palabras, no proporcione acceso a datos o sistemas a miembros del equipo que no tienen una necesidad laboral para ese acceso. También, sea proactivo en eliminar el acceso una vez que no se necesite. Por ejemplo, luego de que se complete una tarea o de que un miembro del equipo deje el equipo o la organización. Seguir este principio reduce las posibilidades de que un individuo con intenciones maliciosas tenga el acceso necesario para iniciar el ataque.

 

¿Cómo debe denunciar un ataque potencial?

Si cree que un colega puede iniciar un ataque, denuncie sus sospechas utilizando los canales apropiados y siguiendo los procedimientos que especifique la política de seguridad de la información de su organización.

En otras palabras, no confronte al individuo usted mismo. Esto es importante para su propia seguridad y también porque no todas las sospechas son legítimas; sus sospechas pueden fácilmente ser infundadas.

 

Conclusión

En un mundo donde los datos pueden ser transferidos casi instantáneamente, los ataques internos continúan siendo una preocupación creciente. Pero estar alerta a comportamientos sospechosos y gestionar el acceso a los sistemas de datos de forma correcta, puede tener una gran incidencia en la prevención de esos ataques.