Cuando el enemigo está en casa

Los ciberataques y las brechas de seguridad, perpetrados por ‘insiders’, es decir por personas que pertenecen a la propia organización o empresa cuyos sistemas son atacados, están aumentando, debido a la proliferación del teletrabajo, el uso de conexiones inseguras y a la difuminación de los perímetros de seguridad de una compañía, advierten los expertos.

Los daños causados por los ataques internos a los sistemas de información de las empresas en EE. UU. crecieron un 31% en los últimos tres años, a la vez que aumentó un 47% la frecuencia de los incidentes que, de media, tardan 77 días en contenerse, según los datos que maneja la firma tecnológica DXC (www.dxc.com).

«De los tres grandes perfiles de ‘insiders’, los usuarios negligentes, los infiltrados y los ladrones de credenciales, éstos últimos son los que causan más daño, si bien representan solo una cuarta parte de los ataques», según Mikel Salazar Peña, responsable de Ciberseguridad de DXC para Iberia.

Salazar explica a Efe que ‘insider’ es una la persona que, debido a su posición dentro de una corporación, dispone de acceso a información confidencial o privilegiada y que hace uso de ella de forma intencional o accidental.

«Las actividades de un ‘insider’ pueden influir de forma negativa y causar un impacto en la corporación de la que forma parte, tanto en lo que respecta a la seguridad como a la reputación corporativa y, en especial, en lo relativo a la seguridad y privacidad de la información», señala este experto. Salazar describe a los tres tipos de ‘insiders’ más frecuentes, comenzando por el ‘negligente’: «empleado que se apropia indebidamente de los recursos, viola las políticas de uso, maneja mal los datos, y/o instala aplicaciones no autorizadas haciendo uso de soluciones alternativas no aprobadas».

«Las acciones de los ‘insiders’ negligentes son inapropiadas en lugar de maliciosas, es decir que no hay por su parte intencionalidad de hacer daño», puntualiza.

Salazar destaca dos perfiles claros de ‘insiders’ dentro de la categoría de ‘infiltrados’: los llamados agentes internos y, por otro lado, los empleados descontentos.

«Los agentes internos son aquellos que han sido reclutados (o sobornados o extorsionados) por una tercera persona maliciosa, con el objetivo de exfiltrar datos (sacarlos fuera de la organización) para que posteriormente este tercero los monetice, es decir que los convierta en dinero», según explica.

Por su parte «el empleado descontento hace uso de su posición de privilegio dentro de la corporación, pudiendo acceder a información confidencial con el objetivo de dañar a su organización, destruyendo datos o consiguiendo interrumpir la actividad empresarial», señala.

«Finalmente, quienes pertenecen al tercer perfil de ‘insider’, el ‘ladrón de credenciales’, tienen como objetivo principal el robo de identidades privilegiadas (cuentas con privilegios que dan acceso a la infraestructura crítica, bases de datos, servidores de contabilidad y otra información clave de una empresa o entidad) para su consiguiente monetización», según este experto.

«El ‘ladrón de credenciales’ es el ‘insider’ más peligroso, porque al facilitar que los terceros maliciosos accedan a las identidades privilegiadas puede posibilitar que esos agentes tomen posteriormente el control de los sistemas críticos de la compañía», según Salazar.

«Una vez conseguido el acceso, el actor malicioso puede explotar un ataque de ‘ransomware’ (‘secuestro de datos’, solo liberados a cambio del pago de un rescate) o bien aprovechar ese acceso privilegiado para seguir exfiltrando información poco a poco, en un ‘ataque lento’», según el experto de DXC.

«Estos dos tipos de ataques, el ‘ransomware’ y el ‘ataque lento’, son fatales, ya que el primero podría conseguir cifrar toda la información de la compañía y paralizar su actividad, mientras que el segundo podría conseguir acceso a información privilegiada sin ser detectado», advierte Salazar.

Explica que el teletrabajo ha incrementado de modo exponencial el riesgo de ataques de ‘insiders’ debido al uso de conexiones inseguras y dispositivos personales y a la difuminación del perímetro de seguridad

«En términos informáticos, el concepto de seguridad perimetral se refiere a la seguridad que controla la frontera o ‘perímetro’ de la red de una empresa considerada segura y formada por el conjunto de máquinas y dispositivos que interactúan con el exterior, es decir con otras redes, considerado un entorno inseguro», afirma el especialista.

El perímetro se ha ido difuminando (se ha vuelto más ‘borroso’) a medida que los ‘teletrabajadores’ y ‘empleados móviles’ comenzaron a acceder a la red por su propia cuenta, con sus propios dispositivos, un fenómeno que profundizó el auge de la computación ‘cloud’, (en la Nube) y los dispositivos IoT (internet de las Cosas), según los especialistas.

En esta nueva realidad, «para proteger a los empleados es necesario proteger todas las actividades realizadas desde sus puestos de trabajo», recalca Salazar.

Según DXC las dos principales amenazas a monitorizar frente a los ‘insiders’ son la exfiltración de datos, que es la más recurrente, y el abuso de credenciales privilegiadas.

«Para exfiltrar datos, antes se utilizaban los USBs y los discos duros como principal medio de robo de información, y ahora se utiliza el correo electrónico, reenviando la información a cuentas personales o cargándola en sitios de colaboración en la nube», según esta firma.

Para Salazar, uno de los principios clave en la batalla contra los ‘insiders’ consiste en «proteger el dato».

«Antes el foco estaba en la ciberseguridad de la red corporativa. Ahora además de hacer que esa red sea segura, es urgente prestar atención al dato y a la identidad», de acuerdo a este experto.

Para ello recomienda implementar el modelo ‘Zero Trust’ (Confianza Cero) con el cual cualquier usuario o elemento es considerado como una posible amenaza, independientemente de si es interno o externo.

«Zero Trust es un modelo de seguridad basado en un proceso estricto de verificación de identidad, que determina que solo lo+s usuarios y dispositivos autenticados y autorizados puedan acceder a las aplicaciones y a los datos, y que protege a dichas aplicaciones y usuarios de las amenazas avanzadas de Internet», concluye el experto.