Los incidentes cibernéticos causados por el factor humano suelen atribuirse a errores ocasionales de los empleados. Sin embargo, a menudo se pasa por alto un elemento importante: el comportamiento malicioso y deliberado por parte del personal. Un reciente estudio de Kaspersky revela que, en España, en los últimos dos años, el 74% de las empresas se han enfrentado a diversos ciberincidentes, de los cuales el 11% fueron causados deliberadamente por parte de los empleados.
El error humano puede afectar a las empresas, fruto de despistes o pequeños accidentes. No obstante, uno de los factores que a menudo se pasa por alto son las acciones malintencionadas por parte de los empleados. Según un estudio elaborado por Kaspersky, en los últimos dos años, el 11% de las empresas españolas sufrieron incidentes cibernéticos intencionados por parte del personal para su propio beneficio.
Un caso reciente ocurrido en la empresa Tesla ilustra los peligros que suponen las amenazas internas para las empresas. Dos ex empleados de la compañía filtraron a un periódico alemán los nombres, direcciones, números de teléfono y correos electrónicos de 75.735 empleados actuales y antiguos. Los reguladores de Maine (Estados Unidos) fueron informados del incidente en una notificación de violación de datos el pasado18 de agosto para realizar una investigación interna, después de que la empresa se enterara de la filtración el 10 de mayo por el diario alemán «Handelsblatt».
Amenazas internas: lo que hay que saber
Existen dos tipos principales de amenazas internas: no intencionadas e intencionadas. Las primeras son errores por descuido o falta de información de los empleados, como caer en el phishing y otras formas de ingeniería social o enviar información sensible y confidencial a la persona equivocada, entre otros. Por el contrario, las segundas, son llevadas a cabo malintencionadamente por parte de los trabajadores. Principalmente, suelen hacerlo con el objetivo de obtener beneficios económicos de la venta de datos sensibles, como acto de venganza, para detener las operaciones comerciales de la organización, para exponer las debilidades de TI u obtener información confidencial. Es decir, buscan dañar a la empresa y son muy peligrosas por varios factores:
- Tienen conocimientos específicos de la infraestructura de la empresa, así como del manejo de las herramientas de seguridad de la información.
- Ya están dentro de la red de la empresa, por lo que no necesitan realizar estafas, como el phishing, para penetrar el perímetro.
- Tienen compañeros dentro de la organización, por lo que les resulta mucho más fácil utilizar la ingeniería social.
¿Cuáles son las razones de las acciones malintencionadas de los empleados?
Una de las principales razones por las que los empleados llevan a cabo este tipo de acciones deliberadas es el beneficio económico. A menudo, roban información sensible con la intención de venderla a competidores o, incluso, subastarla en la dark web, donde los ciberdelincuentes compran datos para atacar a las empresas. Otro tipo de acción maliciosa se produce cuando una o varias personas internas colaboran con un actor externo para poner en peligro una organización. Estos incidentes suelen implicar a ciberdelincuentes que reclutan a empleados para llevar a cabo diferentes tipos de ataques.
Cuando los trabajadores son despedidos también pueden producirse estos actos como venganza personal. En ocasiones, recurren a compañeros de trabajo que continúan en la empresa. Sin embargo, el peor de los casos se produce si todavía pueden iniciar sesión en su cuenta de trabajo de forma remota, accediendo a sus sistemas. También puede considerarse como acto de venganza en el caso de que el empleado no esté contento con su trabajo o si se ha rechazado un aumento salarial o un ascenso.
“Estos empleados pueden atacar en cualquier tipo de empresa, grandes o pymes. Por ello, es importante que las organizaciones cuenten con un sistema de seguridad informática actualizado, resistente y transparente, que aúne soluciones de seguridad eficaces, protocolos de seguridad inteligentes y programas de formación para el personal informático y no informático, con el fin de protegerse contra esta amenaza. Además, es crucial implementar productos y soluciones que protejan la infraestructura de la organización. Por ejemplo, Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business, que ayuda a detectar y prevenir actividades sospechosas y potencialmente peligrosas, tanto por parte de una persona interna que trabaja en una empresa como de un actor externo a la organización”, explica Alexey Vovk, director de Seguridad de la Información de Kaspersky.
Para combatir las amenazas internas, Kaspersky recomienda:
- Imparte formación en ciberseguridad para concienciar a los empleados y evita infracciones intencionadas. Para aumentar la concienciación sobre seguridad entre los empleados, se recomienda recurrir a programas de formación como Kaspersky Automated Security Awareness Platform, que enseña comportamientos seguros en Internet.
- Invierte en programas de formación para especialistas en seguridad TI. La formación de Kaspersky Cybersecurity for IT Online ayuda a crear mejores prácticas, sencillas pero efectivas, relacionadas con la seguridad TI y escenarios de respuesta a incidentes para administradores. Por su parte, Kaspersky Expert Training forma a los equipos de seguridad con los últimos conocimientos y habilidades en gestión y mitigación de amenazas.
- La función Advanced Anomaly Control de Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business y Kaspersky Endpoint Detection and Response Optimum ayuda a evitar actividades potencialmente peligrosas por parte del empleado o de algún atacante externo.
- Controla y limita el uso de dispositivos personales y aplicaciones y servicios de terceros. Kaspersky Endpoint Security for Business y Kaspersky Endpoint Security Cloud ofrecen controles de aplicaciones, web y dispositivos que limitan el uso de apps, páginas web y periféricos no solicitados, reduciendo significativamente los riesgos de infección incluso en casos en los que los empleados utilizan dispositivos, aplicaciones o servicios no autorizados por la empresa para transferir datos.
- Implementa productos que permitan limitar los derechos del administrador sólo a aquellas opciones que sean realmente necesarias para el trabajo. Kaspersky Endpoint Security for Business ofrece acceso basado en roles a los elementos de la consola de administración de Kaspersky Security Center, por lo que no todos los administradores necesitan un control total sobre las funciones de seguridad.
- Por su parte, Kaspersky Security for Internet Gateway incluye filtrado de contenido para prevenir la transmisión de datos no solicitados sin importar su tipo e información sobre el estado de protección de la plataforma o del comportamiento del usuario en los endpoints de la red.
