Cuando hablamos de incidentes cibernéticos solemos pensar en ataques perpetrados por grupos de ciberdelincuentes capaces de sortear nuestra seguridad a través de malware, ransomware, etc.
Sin embargo, la realidad es bien distinta. Hace poco contábamos que el 15% de los ciberincidentes en las empresas españolas tienen su origen en los propios empleados, de acuerdo con los datos de Kasperky.
La compañía de seguridad explica que se deben a violaciones intencionadas de las políticas de seguridad de la información por parte de los trabajadores. Se trata de incidentes causados porque los empleados hacen deliberadamente lo que está prohibido y no cumplen lo que se les exige en materia de ciberseguridad.
Asimismo, otro estudio de Kaspersky descubre que el 11% de las empresas españolas han sufrido incidentes cibernéticos intencionados por parte del personal para su propio beneficio en los últimos dos años.
Indica que estos actos son perpetrados por los empleados con distintos objetivos: para obtener beneficio económico de la venta de datos sensibles, como acto de venganza, para detener las operaciones comerciales de la organización, para exponer las debilidades de TI, para obtener información confidencial, etc.
Por ejemplo, indica que pueden producirse como venganza personal en caso de despido. Para ello, pueden recurrir a compañeros de trabajo que continúen en la empresa. E incluso se dan casos en los que acceden a los sistemas remotamente, iniciando sesión en su cuenta de trabajo si todavía no se ha deshabilitado. También pueden producirse como acto de venganza en caso de que el empleado no esté contento con su trabajo o si se ha rechazado un aumento salarial o un ascenso.
Empleados en venta en la dark web
El enriquecimiento económico es otro de los motivos de más peso. “A menudo, roban información sensible con la intención de venderla a competidores o, incluso, subastarla en la dark web, donde los ciberdelincuentes compran datos para atacar a las empresas. Otro tipo de acción maliciosa se produce cuando una o varias personas internas colaboran con un actor externo para poner en peligro una organización. Estos incidentes suelen implicar a ciberdelincuentes que reclutan a empleados para llevar a cabo diferentes tipos de ataques”, especifica Kasperky.
De hecho, Check Point ha detectado que los ciberdelincuentes están buscando en la Darknet aliados que les ayuden a atacar a las empresas desde dentro. “Los infiltrados pueden ser empleados, proveedores o trabajadores de empresas asociadas”, detalla la firma de seguridad. “Hay docenas de anuncios. A menudo, procedentes de Rusia o de la Comunidad de Estados Independientes (CEI)”, puntualiza.
“Los ciberdelincuentes suelen utilizar foros y mercados especializados de la Darknet para publicar ofertas de empleo. Pueden atraer a usuarios expertos en tecnología desencantados con el mercado laboral tradicional o dispuestos a ir más allá de la ley por una recompensa económica. Las ofertas pueden abarcar desde la manipulación y robo de datos hasta el despliegue de malware y campañas de ransomware. Los grupos de atacantes esperan que los empleados infiltrados faciliten el acceso a los sistemas objetivo, ayuden a superar las medidas de seguridad y proporcionen información útil para el éxito de un ataque. O incluso intenten un sabotaje físico”, afirma Sergey Shykevich, director del Grupo de Inteligencia sobre Amenazas de Check Point Research.
Kaspersky especifica que estas actuaciones buscan dañar a la empresa y son muy peligrosas por varios factores. En primer lugar, los empleados que las llevan a cabo tienen conocimientos específicos de la infraestructura de la empresa, así como del manejo de las herramientas de seguridad de la información. Además, ya están dentro de la red de la empresa, por lo que no necesitan realizar estafas, como el phishing, para penetrar el perímetro. Y los ‘traidores’ tienen compañeros dentro de la organización, por lo que les resulta mucho más fácil utilizar la ingeniería social.
Check Point recalca que los ciberdelincuentes suelen ofrecer grandes recompensas económicas a cambio de cooperación, llegando incluso a proporcionar formación especial para maximizar los daños. “Por ejemplo, les pueden llegar a enseñar cómo instalar malware o aprender a sabotear los sistemas de seguridad de los empresarios de distintas formas”, apunta.
La compañía remarca que contratar a un infiltrado es caro y peligroso, por lo que los ciberdelincuentes se enfocan en los sectores más lucrativos y en grandes empresas, como las compañías del sector financiero, de telecomunicaciones o tecnológicas.
Check Point asegura que incluso hay personas con información privilegiada que ofrecen sus servicios de forma proactiva en la Darnket. “Por ejemplo, un empleado de un importante operador de telefonía móvil en Rusia ofrecía el intercambio de tarjetas SIM y otros servicios ilegales. Asimismo, hay muchos anuncios similares de operadores de telecomunicaciones estadounidenses”, subraya la empresa.
Detectar y prevenir ‘caballos de Troya’
Check Point recalca que este fenómeno requiere la máxima atención y un enfoque proactivo de la seguridad. De este modo, recomienda ofrecer formación a los empleados, aplicar políticas de seguridad adecuadas, tratar de detectar comportamientos sospechosos, supervisar todo el entorno y realizar auditorías periódicas.
Kaspersky también aconseja controlar y limitar el uso de dispositivos personales y aplicaciones y servicios de terceros. Para ello, podemos echar mano de herramientas que que ofrecen controles de aplicaciones, webs y dispositivos que limitan el uso de apps, páginas web y periféricos no solicitados, reduciendo los riesgos de infección incluso en casos en los que los empleados utilizan dispositivos, aplicaciones o servicios no autorizados por la empresa para transferir datos, como sucede en el caso del shadow IT, de lo que ya hablamos en EMPRENDEDORES.
También recomienda echar mano de productos que permitan limitar los derechos del administrador sólo a aquellas opciones que sean realmente necesarias para el trabajo. Estas soluciones dan acceso basado en los roles desempeñados en la organización a los diferentes elementos de la consola de administración, ya que no todos los administradores necesitan un control total sobre las funciones de seguridad.
Asimismo, aconseja el uso de herramientas que ofrezcan el filtrado de contenido, para prevenir la transmisión de datos no solicitados, sin importar su tipo e información sobre el estado de protección de la plataforma o del comportamiento del usuario en los endpoints de la red.
