Los incidentes relacionados con las amenazas internas de ciberseguridad se están volviendo más comunes y costosos. De hecho, un informe reciente revela que el 67% de las empresas experimentan más de 20 incidentes de este tipo cada año, ¡y el costo anual promedio para las organizaciones es de $15.4 millones de dólares!
¿Cuáles son los tipos de amenazas internas?
Cuando la gente piensa en la detección de amenazas internas, normalmente se imaginan a colaboradores que deliberadamente hacen mal uso de sus derechos de acceso. Además, hoy en día los ciberdelincuentes están incitando activamente a los empleados para que les ayuden a liberar ransomware en la red de su empresa a cambio de un porcentaje del pago del rescate (o, en el caso del complot contra Tesla, una tarifa fija de 1 millón de dólares).
Por otro lado, están las amenazas relacionadas con las negligencias. Por ejemplo, un error común que cometen los administradores es usar su cuenta de acceso privilegiado cuando deberían usar su cuenta de usuario habitual, ya que puede dejar sus poderosas credenciales en la memoria de una estación de trabajo para que un atacante las recoja y abuse de la información.
El tercer tipo de amenaza incluye los adversarios de una organización. Los piratas informáticos aprovechan una variedad de vectores de ataque para ingresar a una red. Por ejemplo, todavía utilizan la tradicional pulverización de contraseñas, relleno de credenciales y otros ataques de fuerza bruta para apoderarse de las cuentas de los usuarios. Pero hoy en día vemos cada vez más ataques de ingeniería social, como el phishing y sus variantes como el Spearphishing, el vishing y el smishing.
Los ataques pueden tener varios niveles; por ejemplo, los adversarios utilizaron un ataque de ingeniería social para comprometer las credenciales de los empleados de Twitter con acceso a los sistemas internos, y luego lanzaron otra campaña de ingeniería social tuiteando desde cuentas de alto perfil y prometiendo que todos los Bitcoin enviados a una dirección que controlaban se duplicarían y se enviarían de vuelta.
¿Quién está en riesgo?
Si bien se conocen más los incidentes a las grandes empresas, es importante comprender que la amenaza interna es un riesgo grave para todas las organizaciones, independientemente de su tamaño. De hecho, los ataques a las pequeñas y medianas empresas (PYMES) están aumentando, en parte porque los adversarios esperan que cuenten con medidas de protección y detección de amenazas internas menos sólidas.
Por ello, la detección es fundamental. El mismo informe menciona que el costo promedio de una violación de datos en 2022 fue de $4,35 millones de dólares, un aumento de casi el 13% con respecto a 2020. El costo total incluye factores como:
Pérdidas de ingresos por el tiempo de inactividad del sistema
Costo de clientes perdidos y adquisición de nuevos clientes.
Pérdidas de reputación
Evaluación de los requisitos de respuesta regulatoria.
Gastos de notificación a los interesados, reguladores y otros terceros
Mesa de ayuda y comunicaciones entrantes
Servicios para clientes afectados, como servicios de protección de identidad o descuentos en productos.
Gastos legales
Multas regulatorias
Los métodos más comunes de detección de amenazas internas
El núcleo de la detección de amenazas internas es auditar la actividad en el ecosistema de TI: recopilar, consolidar y analizar grandes volúmenes de datos. Muchas organizaciones invierten en una solución de gestión de información de seguridad (SIEM), pero esas herramientas pueden ser costosas de implementar y mantener y, a menudo, generan tantas alertas falsas que los equipos de seguridad pueden abrumarse.
Para una detección de amenazas internas más específica, se necesita una solución de software que emplee análisis del comportamiento del usuario (UBA) para establecer líneas y señalar amenazas verdaderas con mucha más precisión. Además, se requiere una solución de auditoría de Active Directory que cubra todo el entorno híbrido y automatice muchas de las tareas principales involucradas.
Por supuesto, otra parte clave de un programa de detección de amenazas internas es responder adecuadamente. Debes poder determinar rápidamente dónde se originó una infracción, cómo se desarrolló y exactamente qué sistemas y datos estuvieron involucrados. De esa manera, puede tomar medidas rápidamente para bloquear daños mayores, remediar cambios inadecuados, y responsabilizar a las personas por sus acciones.
No toda la detección de amenazas internas implica controles técnicos o tecnología, también se debe estar atento a las señales de que los empleados están mal capacitados, no prestan atención o están descontentos. Por ejemplo, hay que considerar una posible amenaza a la seguridad si los empleados presentan evidencia de:
Exceso de trabajo o agotamiento, que puede provocar errores.
Descontento con su salario o condiciones laborales.
Abuso de drogas o alcohol
Dificultades financieras
Por Patricia Fuentes, Country Manager de Quest Software en México