La Amenaza está Dentro

¿Alguna vez te has planteado todas las amenazas que existen para tu empresa? Son innumerables. Partiendo de la base de que una empresa sale a Internet y está interconectada con el mundo, ya tiene una vulnerabilidad clara… ¿Cómo me conecto a los demás sin que los demás accedan y comprometan mi información? La zona difusa entre el mundo exterior y el interior no sólo está en la seguridad informática en sí que protege a las empresas de atacantes externos, sino que también hay que preocuparse de la amenaza silenciosa… La amenaza desde dentro (“insider threat”).

Cada empleado puede tener mil motivaciones diferentes para comprometer la información de una empresa, cometer fraude, robar propiedad intelectual, beneficiar o perjudicar a proveedores o clientes, etc. Todo en base a un interés propio que puede ser detonado por una conducta delictiva preexistente, una situación de malestar con la empresa o con sus superiores, una serie de acontecimientos adversos que alteren la conducta del individuo, un estímulo exterior –un despido, un tercero (outsider) que ofrece una compensación económica a cambio de información o acciones fraudulentas, una contratación en competencia desleal con beneficios- etc. Cualquiera de estas motivaciones daría para una novela o una película con una trama muy interesante… La gracia es que existen miles de tramas diferentes ya documentadas y que se siguen repitiendo una y otra vez porque concurren siempre las mismas motivaciones, las mismas acciones y las mismas medidas –o ausencia o limitación de las mismas- por las cuales se llega a cometer el delito.

En muchos de los casos los atacantes pecan de descuidados y terminan dejando pistas que permiten su trazabilidad (copias de código en la propia casa y dispositivos que llevan encima, accesos ilícitos desde IPs trazables –como emplazamientos habituales o un restaurante en el que pagaron la cena-, movimientos sospechosos entre cuentas, elementos hardware –como keyloggers- que se dejan instalados, cómplices que terminan hablando, falseamiento de información en el CV o en las redes sociales, exceso de ego y comportamientos sospechosos, etc. De esta manera, en esos casos, y gracias al “análisis forense” acaban obteniendo una condena y una sanción económica por sus delitos, pero con todo y con eso se siguen cometiendo ataques desde dentro todos los días.

Aquí os dejo una guía muy completa por si queréis completar la información con casuísticas reales y acciones que se podrían haber tomado para evitar la amenaza y prevenir el delito:

http://resources.sei.cmu.edu/asset_files/TechnicalReport/2012_005_001_34033.pdf

Por otro lado, aquí podéis ver estadísticas detalladas por sector, tipo de atacante, etc.

http://enterprise-encryption.vormetric.com/rs/vormetric/images/CW_GlobalReport_2015_Insider_threat_Vormetric_Single_Pages_010915.pdf

Lo más adecuado en cualquier caso es que, a la mínima sospecha sobre un empleado, realices una auditoría de seguridad focalizada en el empleado, y solicites recomendaciones de refuerzo en la seguridad en general en modo preventivo.

¿Qué credenciales de acceso tiene el potencial atacante interno? ¿Con esas credenciales qué otras credenciales ha concedido?

¿A qué servidores, bases de datos, sistemas y ficheros de ejecución de código y aplicaciones ha tenido acceso físico y lógico?

¿Qué comunicaciones ha utilizado? ¿Ha creado algún túnel (VPN) o algún método de acceso desde el exterior que le permita ingresar de nuevo?

¿Puede haber tenido acceso a información de clientes y logarse con dicha información, comprometiendo la privacidad e integridad de la información de éstos?

¿Puede haber dejado código oculto –bombas lógicas y similares- funcionando o dormido? ¿Puede haber conseguido introducir gusanos, troyanos, virus y otro malware en los sistemas?

¿Puede haber conseguido información confidencial que pueda utilizar para vender, extorsionar, filtrar a los medios o clientes, manipular con mala fé, etc.?

Recomendable informarse y utilizar un sistema de Security Integration and Event Management (SIEM) bien planificado y que se revise y evalúe periódicamente para levantar la liebre en cuanto se identifiquen comportamientos sospechosos, repetitivos o que se salgan de la normalidad.

Y, por último, cuando ya el daño está hecho, no queda más remedio que recurrir al análisis forense para encontrar al responsable y delimitar el alcance de los daños. Las lecciones aprendidas servirán para no volver a caer en la misma casuística de nuevo.

Al menos un 20% de los “ataques” se producen desde dentro, de modo que probablemente estarás expuesto a la amenaza silenciosa que podrá hacer una merma irreparable en tu negocio. De ti depende poner las medidas adecuadas en el tiempo antes de que eso ocurra. Contrata al profesional adecuado y consúltame para más información.

Leave a Reply

Your email address will not be published. Required fields are marked *