Las amenazas internas se están convirtiendo en uno de los mayores desafíos de ciberseguridad que enfrentan los CISO de hoy. Un reciente estudio de seguridad afirma que el 76% de las organizaciones han experimentado una mayor actividad de amenazas a los empleados en los últimos cinco años. Sin embargo, a pesar de esto, menos del 30% siente que posee las herramientas para enfrentarlos, y solo una quinta parte (21%) está operando un programa de amenazas internas.
Sin embargo, aunque algunas amenazas se están volviendo más sofisticadas, las mejores prácticas de la industria respaldadas por el cumplimiento de estándares globales pueden contribuir en gran medida a mitigar el riesgo.
Un amplio espectro de mala conducta
El informe de Securonix también exploró algunas de las principales razones detrás de las amenazas internas, incluida la falta de capacitación y concientización de los empleados (37%), el aumento de nuevas tecnologías (34%), insuficientes protecciones de ciberseguridad (29%), entornos de TI complicados (27 %) y personal descontento (25%).
Estos incidentes son cada vez más variados y frecuentes, según Alun Cadogan, consultor de la firma de servicios de TI Prism Infosec. Le dice a ISMS.online que representan un “amplio espectro de mala conducta” que incluye todo, desde el robo de propiedad intelectual hasta actos intencionales de sabotaje.
“La actual recesión económica ha provocado un aumento del reclutamiento de personas con información privilegiada por parte de bandas criminales organizadas a través de plataformas de redes sociales”, explica. “También existe una intensa competencia en el mercado, lo que lleva a las empresas a recurrir a la contratación de personal interno en empresas rivales. Esto se debe a los avances en la innovación tecnológica y al aumento de la competencia por dicho conocimiento entre los competidores globales”.
Para las empresas que son víctimas de amenazas internas, el daño puede ser significativo. Cadogan dice que pueden provocar pérdidas financieras, operaciones interrumpidas, daños a la reputación y reducción de la competitividad.
La amenaza del Estado nación
Además de aumentar en volumen, las amenazas internas también se han vuelto más complejas en los últimos años. Los insiders ahora están en connivencia con adversarios extranjeros para aumentar la efectividad de sus campañas.
En la Informe de investigaciones de riesgos internos de 2024, que se basa en más de 1300 investigaciones de clientes globales, DTEX revela un aumento del 70% en los clientes que buscan mitigar la amenaza de interferencia extranjera. Afirma que el problema afecta predominantemente a infraestructuras críticas y organizaciones del sector público.
Cadogan de Prism Infosec explica que los insiders pueden recurrir a gobiernos extranjeros en busca de financiación, herramientas técnicas avanzadas, inteligencia y motivos estratégicos para ayudar a mejorar el resultado de sus ataques. Estos recursos hacen que las amenazas internas sean más complicadas y destructivas, añade.
Advierte que los adversarios extranjeros no sólo trabajan con personas internas para acceder a información corporativa confidencial; también pueden tener como objetivo manipular las operaciones de una empresa o sabotear sus productos y servicios basándose en “objetivos geoestratégicos más amplios”.
"Esto impone enormes exigencias a los procedimientos de seguridad, que requieren mucho más que simples controles de seguridad internos", añade Cadogan. "Se requiere cooperación internacional e intercambio de inteligencia para reducir el riesgo a niveles aceptables".
Otras amenazas internas
El robo de propiedad intelectual y de datos es otra amenaza interna común y representa el 43% de las investigaciones de los clientes de DTEX. Según el informe, las industrias más afectadas son la tecnológica (41%), la farmacéutica (20%) y la de infraestructura crítica (14%).
El proveedor afirma que el 15% de los empleados abandonan las organizaciones con IP confidencial, mientras que muchas más personas (76%) eliminan datos propietarios no confidenciales. Pero esto último puede ser igualmente perjudicial para las empresas cuando acaba en manos de los ciberdelincuentes, advierte DTEX.
Jake Moore, asesor global de ciberseguridad de ESET, explica que los ciberdelincuentes pueden intentar acceder a información corporativa confidencial acercándose a los empleados en sitios web como LinkedIn. Es posible que soliciten cosas simples como memorias USB que contengan información confidencial o credenciales de inicio de sesión a cambio de recompensas.
Si bien muchas amenazas internas son deliberadas, también pueden ser involuntarias. De hecho, una cuarta parte (24%) de las investigaciones de DTEX involucraron revelaciones accidentales y no autorizadas, mientras que hubo un aumento del 62% en el uso de aplicaciones prohibidas, como navegadores y extensiones de navegador no autorizados.
"Las amenazas accidentales pueden incluir que los empleados introduzcan malware sin darse cuenta o permitan la fuga de datos, lo que a menudo puede mitigarse con programas de capacitación anuales y ad hoc para todo el personal", dice Moore a ISMS.online.
El uso de herramientas de inteligencia artificial generativa en el lugar de trabajo también puede resultar en la divulgación accidental de información corporativa confidencial, especialmente si se ingresa en un chatbot de inteligencia artificial como ChatGPT. La gran mayoría de los clientes de DTEX (92%) están preocupados por este problema, y el 41% de ellos cita a los empleados que utilizan esta tecnología en sus trabajos.
"La IA generativa puede revelar accidentalmente datos confidenciales que pudo haber aprendido durante el proceso de capacitación, revelando potencialmente información personal o confidencial", explica Moore.
"Las amenazas internas aceleran este riesgo si las personas con acceso manipulan los resultados de la IA o los datos de entrenamiento, lo que puede provocar una fuga de datos deliberada o no".
Conteniendo la amenaza
A medida que las amenazas internas se vuelven más comunes en todas las industrias, es clave tomar medidas para identificarlas y mitigarlas. Ahí es donde pueden ayudar los estándares de seguridad de la información reconocidos mundialmente, como ISO 27001 y 42001.
Cadogan de Prism Infosec cree que proporcionan un "marco metódico" que permite a las empresas disminuir el riesgo de amenazas internas. Dice que ISO 27001 se destaca porque proporciona un enfoque integrado para tratar con personas, procesos y tecnología.
como la formación de concienciación sobre seguridad de los empleados.
“En la última versión lanzada en 2022, hay una nueva incorporación: control 5.7. Se trata de un control organizacional que se centra en la inteligencia de amenazas, incluida la identificación de las fuentes de amenazas, de las cuales se cuentan las amenazas internas”, afirma.
Mientras tanto, ISO 42001 puede ayudar a las empresas a garantizar que sus empleados utilicen las herramientas de inteligencia artificial de manera responsable y ética, afirma.
"Su objetivo es contrarrestar los riesgos asociados con la IA, como garantizar que la IA no se corrompe a través de sus datos de entrenamiento (o envenenamiento de datos) y que proporcione resultados justos e imparciales", argumenta Cadogan. "Ambas cosas podrían suceder si el sistema se ve comprometido por un infiltrado deshonesto".
Sean Wright, jefe de seguridad de aplicaciones de Featurespace, señala que entender bien los conceptos básicos de ciberseguridad también permitirá a las empresas reducir las amenazas internas y su impacto. En particular, recomienda seguir el principio de privilegio mínimo, que garantiza que los empleados sólo tengan acceso a la información que necesitan para realizar su trabajo.
Wright dice que monitorear signos de actividades sospechosas también ayudará a las empresas a identificar amenazas internas. Le dice a ISMS.online: "A fin de cuentas, la seguridad debe ser un enfoque en capas en el que, si un control falla, se debe implementar otro para limitar el impacto de esa falla".
