Pueden pasar desapercibidos durante años. Hacen sus acciones cuestionables en el fondo. Y, a veces, uno se pregunta si están haciendo más daño que bien.

Aunque parece que estamos describiendo un PUP sofisticado del que no has oído hablar, no lo estamos.

Estos son los atributos conocidos de las amenazas internas.

Las amenazas internas son una de las pocas amenazas no digitales que afectan a las organizaciones de todos los tamaños hasta la fecha. Y, para golpear con la publicidad, el peligro que representan es real.

Cuando una vez las compañías pensaron que los riesgos para sus activos de alto valor solo podían provenir de actores externos, lentamente se dieron cuenta de que también enfrentaban peligros potenciales desde adentro. La peor parte es que nadie puede decir quiénes son los culpables hasta que el daño esté hecho.

En el libro blanco Osterman Research titulado White Hat, Black Hat y el surgimiento del sombrero gris: Los verdaderos costos del cibercrimen , se encuentra que las amenazas internas representan una cuarta parte de los ocho riesgos graves de ciberseguridad que afectan significativamente a los sectores público y privado. Para decirlo de otra manera, los empleados actuales y anteriores de una organización, terceros proveedores, contratistas, socios comerciales, personal de limpieza de oficinas y otras entidades que tienen acceso físico o digital a recursos de la compañía, sistemas críticos y redes se clasifican colectivamente en el la misma lista que ransomware , spear phishing y ataques de estado nación .

La mayoría de los conocedores que han causado dolor de cabeza a sus empleadores no necesariamente tienen antecedentes técnicos. De hecho, para empezar, no tenían el deseo o la inclinación de hacer algo malicioso en contra de su compañía. En el 2016 Cost of Insider Threats [PDF] , un estudio de referencia realizado por el Ponemon Institute, un porcentaje significativo de incidentes internos dentro de las empresas en los Estados Unidos no fue causado por personas delictivas, sino por personal negligente.

Este hallazgo sigue siendo coherente con el costo de las amenazas internas de 2018 [PDF] , donde la cobertura también incluye organizaciones de la región de Asia y el Pacífico, Europa, África y Oriente Medio. Falta general de la información privilegiada de la atención y el mal uso de los privilegios de acceso, junto con poca o ninguna conciencia de seguridad cibernética y la formación, son algunas de las razones por las que son peligrosos.

Entender las amenazas internas

Muchos ya se han descrito lo que es una amenaza interna es, pero ninguno tan inclusivo y abarca como el significado presentado por el Centro de amenazas CERT Insider , un brazo de investigación del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI). Han definido una  amenaza interna como:

… el potencial de las personas que tienen o han autorizado el acceso a los activos de una organización para utilizar su acceso, maliciosa o involuntariamente, para actuar de una manera que pueda afectar negativamente a la organización.

A partir de esta definición, podemos clasificar a los iniciados en dos categorías principales: intencional y no intencional. Dentro de esas categorías, hemos descrito los cinco tipos conocidos de amenazas internas hasta la fecha. Los son los siguientes:

Personas internas intencionales

A sabiendas, perjudican a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada maliciosa 

Este tipo tiene varios nombres, incluidos el agente deshonesto y el renegado. Tal vez su principal diferenciación de la información privilegiada profesional (como verá más adelante) es que ninguna persona de este tipo comenzó con intenciones maliciosas. Algunos empleados descontentos, por ejemplo, pueden decidir comprometer la red de la compañía si perciben que su compañía los ha hecho mal plantando malware, eliminando archivos de la compañía, robando propiedad intelectual patentada para vender, o incluso reteniendo cuentas y datos esenciales para obtener un rescate .

En ciertas circunstancias, los empleados se vuelven pícaros porque quieren ayudar a su país de origen. Tal es el caso de Greg Chung , quien fue declarado culpable de suministrar a China inteligencia militar y espacial durante su mandato en Rockwell y Boeing al robar casi tres décadas de documentos ultrasecretos. El número de cajas de archivos recuperados de su casa no fue revelado, pero podemos suponer que será de cientos.

Los empleados que son forzados u obligados a realizar actos maliciosos en nombre de una o más entidades también se incluyen en este tipo.

La información privilegiada profesional

Este tipo generalmente se conoce como espía o topo en una organización. Ingresan a una organización generalmente como empleados o contratistas con la intención de robar, comprometer, sabotear y / o dañar activos y la integridad de la compañía. Pueden ser financiados y dirigidos por estados nacionales u organizaciones privadas, generalmente un competidor de la empresa objetivo.

Cuando la Carta de Jacobs se hizo pública, un alegato de 37 páginas escrito por el ex empleado de Uber Ric Jacobs, parecía que la demanda civil entre Google y Uber ya no era su caso habitual de robo de propiedad intelectual. En esta carta, Jacobs afirmó que el ex CEO de Uber Travis Kalanick era el cerebro detrás del robo, con Anthony Levandowski como actor. Aunque esta acusación aún no se ha fundamentado, Levandowski se ajustaría a este tipo si se encuentra cierto.

La información privilegiada violenta

Los actos que tienen un impacto negativo en las organizaciones no comienzan ni terminan en el abuso, mal uso y robo de activos no físicos. También pueden incluir amenazas de naturaleza violenta. Peopleware es tan esencial como el software y el hardware que utiliza una organización, incluso más crucial. Entonces, lo que afecta negativamente a los empleados también afecta a la organización.

Por lo tanto, es imperativo que las organizaciones también identifiquen, mitiguen y protejan a su personal de amenazas físicas potenciales, especialmente aquellas que nacen desde adentro. El CERT Insider Threat Center reconoce la violencia en el lugar de trabajo (WPV, por sus siglas en inglés) como otro tipo de amenaza interna , y la clasificamos como personas internas intencionadas.

WPV se define como violencia o amenaza de violencia contra empleados y / o ellos mismos. Esto puede manifestarse en forma de ataques físicos, comportamiento o lenguaje amenazante o intimidatorio (por escrito, verbal o transmitido electrónicamente), acoso u otros actos que pueden poner en riesgo a las personas.

Este autor espera que el CERT y otras organizaciones que investigan las amenazas internas amplíen su definición para incluir intimidación en el lugar de trabajo, violencia doméstica (por ejemplo, cuando un compañero abusivo viene detrás de su compañero abusado en el lugar de trabajo) y otras acciones que arriesgar o afectar negativamente su bienestar emocional y psicológico.

Leer: De las comadrejas, las serpientes y las abejas reinas

Insider Threat La investigadora Tracy Cassidy del CERT ha identificado [PDF] los siguientes indicadores que permiten a un empleado pertenecer a este tipo:

  • Historia de la violencia
  • Problemas legales
  • Pérdida de otro significativo
  • Conflicto con el supervisor
  • Posible pérdida de empleo
  • Mayor consumo
  • Con respecto a las búsquedas web

En 2015, Vester L. Flanagan II (alias Bryce Williams) mató a tiros a dos de sus antiguos colegas en WDBJ7, una estación de televisión local en Roanoke, Virginia, durante una entrevista en vivo. Posteriormente, Flanagan publicó un video del tiroteo en Facebook y en Twitter, afirmando que sus víctimas lo perjudicaron.

Dos años después del incidente de Flanagan, Randy Stair estaba publicando videos y mensajes preocupantes en Twitter sobre su plan para matar a sus compañeros de trabajo en el supermercado Weis en Pennsylvania. Nadie estaba completamente seguro de su motivo, pero las investigaciones revelaron que no le gustaba su gerente y mostraba signos de extrema soledad días antes del incidente.

Informantes no intencionales

No tienen mala intención o malicia hacia su empleador, pero sus acciones, inacciones y comportamiento a veces causan daño a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada accidental

También se les conoce como personas ignorantes, ingenuas o descuidadas. Este tipo es quizás el más pasado por alto y subestimado con respecto a su posible riesgo y daño a las organizaciones. Sin embargo, múltiples estudios confirman que los iniciados accidentales representan la mayoría de las brechas significativas que aparecen en los titulares. Los iniciados de este tipo son relativamente comunes.

Incidentes, como ignorar o inadvertidamente hacer clic en un enlace en un mensaje de correo electrónico de dudosa procedencia, publicar o filtrar información en línea, desechar indebidamente documentos confidenciales y extraviar los activos propiedad de la compañía (por ejemplo, teléfonos inteligentes, CD, USB, laptops), incluso si solo sucede una vez, puede no parecer un gran problema. Pero estas acciones aumentan la exposición de una organización al riesgo que podría llevar a su compromiso.

A continuación, se incluye un ejemplo del potencial de daño de un iniciado interno: los secuestradores utilizaron una cuenta de Amazon Web Service (AWS) de acceso público para extraer criptomonedas. Los investigadores de seguridad de Redlock investigaron el asunto y encontraron configuraciones incorrectas en el servidor de AWS. Esto le dio a los secuestradores acceso a las credenciales que podrían permitir a cualquiera abrir los contenedores S3 donde se almacenaba información confidencial. Resultó que la cuenta pertenecía a alguien en Tesla, por lo que los investigadores les alertaron de la violación.

La persona interna negligente

Los empleados de este tipo generalmente están familiarizados con las políticas de seguridad de la organización y los riesgos involucrados si se ignoran. Sin embargo, buscan maneras de evitarlos de todos modos, especialmente si sienten que tales políticas limitan su capacidad de hacer su trabajo.

Un analista de datos que trabaja para el Departamento de Asuntos de Veteranos descargó y se llevó a casa los datos personales de 26.5 millones de veteranos del ejército de EE. UU. Esto no solo era una violación de las políticas del departamento, sino que el analista tampoco estaba autorizado a hacerlo. La casa del analista fue robada y la computadora portátil fue robada. Los datos incluyen nombres, números de seguridad social y fechas de nacimiento.

Pasos para controlar los incidentes internos

Si bien la educación y la concientización sobre seguridad cibernética son iniciativas en las que todas las organizaciones deben invertir, hay momentos en que simplemente no son suficientes. Tales iniciativas pueden disminuir la probabilidad de incidentes internos accidentales, pero no de incidentes basados ​​en negligencia, información privilegiada profesional u otras campañas de ataque sofisticadas. Las organizaciones deben implementar controles y usar software para minimizar los incidentes de amenazas internas. Dicho esto, las organizaciones también deben continuar impulsando la educación y la conciencia, así como proporcionar apoyo profesional y emocional a los empleados para mitigar el daño potencial de personas internas accidentales, malintencionadas o violentas.

Obtenga soporte ejecutivo A medida que más y más organizaciones se dan cuenta de los riesgos que representan las amenazas internas, también es más fácil obtener la aprobación ejecutiva sobre la idea de disminuir los incidentes de amenazas internas que ocurren en el lugar de trabajo. Reúna y use información sobre incidentes que ocurrieron dentro de la organización (especialmente aquellos de los que el C-suite podría no estar al tanto) antes de lanzar la idea de crear un programa de amenazas internas.

Construye un equipo Si una organización emplea miles, sería ideal contar con un equipo que maneje exclusivamente el programa de amenazas interno. Los miembros deben rastrear, supervisar, investigar y documentar casos o incidentes de amenazas internas. Este equipo debe formar parte de una membresía multidisciplinaria de los departamentos de seguridad, seguridad informática, recursos humanos, legal, comunicación y otros. Si es posible, la organización también debe traer ayuda externa, como un consultor de violencia en el lugar de trabajo, un profesional de salud mental e incluso alguien de la policía para actuar como asesores externos del equipo.

Identificar riesgos. Las amenazas de los iniciados varían de una industria a otra. Es vital que las organizaciones identifiquen las amenazas a las que están expuestas dentro de su industria antes de que puedan llegar a un plan sobre cómo detectarlas y mitigarlas.

Actualice las políticas existentes. Esto supone que la organización ya tiene establecida una política deseguridad o ciberseguridad . Si no, crear uno ahora es esencial. También es importante que el equipo cree un plan o proceso de cómo deben responder a incidentes de amenazas internas, especialmente en informes de violencia en el lugar de trabajo. El equipo siempre debe recordar que no existe un enfoque único para abordar los incidentes de amenazas internas de naturaleza similar.

Implementar controles Una organización que tiene poco o ningún control no es segura en absoluto. De hecho, son fruto fácil para actores externos e internos. Los controles mantienen seguro el sistema, la red y los activos de una organización. También minimizan el riesgo de amenazas internas. A continuación hay algunos controles que las organizaciones pueden considerar adoptar. (De nuevo, hacerlo debe basarse en su evaluación de riesgos):

  • Bloquear actividad dañina. Esto incluye el acceso a sitios web particulares o la descarga e instalación de ciertos programas.
  • Aplicaciones de lista blanca. Esto incluye los tipos de archivos adjuntos de correo electrónico que los empleados pueden abrir.
  • Deshabilite unidades USB, unidades de CD y programas de correo electrónico basados ​​en seguimiento.
  • Minimiza el acceso a ciertos datos. Las organizaciones también deberían centrarse en esto cuando se trata de teletrabajo o de trabajadores remotos.

Lea: Cómo proteger a sus trabajadores remotos

  • Proporcione el menor nivel de acceso a los usuarios con privilegios.
  • Coloque banderas en credenciales antiguas. Los ex empleados pueden intentar usar las credenciales que usaron cuando aún estaban empleados.
  • Crear un proceso de terminación de empleado.

Instalar software. Muchas organizaciones pueden no darse cuenta de que el software ayuda a eliminar las amenazas internas de raíz. A continuación hay una lista de algunos programas que la organización puede considerar usar:

  • Software de monitoreo de la actividad del usuario
  • Predictivo / software de análisis de datos (para buscar patrones recogidos de las interacciones de los empleados dentro de la red de la organización)
  • Software de gestión de eventos e información de seguridad (SIEM)
  • Software de gestión de registros
  • Software de detección de intrusiones (IDS) y prevención (IDP)
  • Máquinas virtuales (para un entorno seguro para detonar o abrir archivos potencialmente dañinos)

Es importante tener en cuenta que, si bien existen programas, controles y políticas diseñados para ayudar a las organizaciones a detener los riesgos internos, es posible que nunca se erradiquen por completo los incidentes de amenazas internas. Además, predecir amenazas internas no es fácil.

«Para poder predecir cuándo un interno maliciosamente quiere dañar a una organización, defraudarla, robar algo de ella, es realmente difícil con la tecnología identificar a alguien que está haciendo algo con intenciones maliciosas», dijo Randy Trzeciak, director del programa CERT de la Universidad Carnegie Mellon, en una entrevista con SearchSecurity.Com.  «Realmente necesita combinar los aspectos conductuales de lo que podría motivar a alguien a defraudar a una organización, o robar propiedad intelectual, o sabotear una red o sistema, que generalmente está fuera del control de lo que es un departamento de TI tradicional y qué lo hacen para prevenir o detectar actividad maliciosa por parte de los iniciados «.

Lectura adicional: