¿Qué es una amenaza interna?

Una amenaza interna es un riesgo de seguridad generado por un empleado, ex empleado, contratista o proveedor. Las amenazas internas pueden dar lugar a multas, daños a la reputación y pérdida de propiedad intelectual.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Identificar los tipos de amenazas internas maliciosas y accidentales
  • Entender el papel del control y la gestión de los accesos en la mitigación
  • Evaluar las opciones de reducción de riesgos

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es una amenaza interna?

Una amenaza interna es un riesgo para la seguridad de una organización que proviene de alguien asociado a ella, como un empleado, ex empleado, adjudicatario, consultor, miembro de la junta directiva o proveedor.

Estas amenazas pueden tener un origen malicioso o accidental. Por ejemplo, un análisis que hizo Verizon de 3950 fugas de datos reveló que el 30 % "implicaba a elementos internos."

Los infiltrados pueden causar daños de múltiples maneras:

  • Robo, filtración o destrucción de datos
  • Venta de los secretos de la empresa
  • Rotura de sistemas, redes u otros recursos informáticos
  • Extravío de equipamiento de la empresa
  • Envío de un archivo adjunto de correo electrónico a la persona equivocada
  • Ser víctima de las estafas de los atacantes
  • Configuración errónea de una red o base de datos

¿Cuáles son los motivos que hay detrás de las amenazas internas?

Los infiltrados maliciosos pueden tener cualquier número de razones para poner en riesgo los datos de una organización, como el deseo de vender los datos, venganza, aburrimiento, ideología y motivos políticos.

Cuando un infiltrado genera sin querer un riesgo para la seguridad o provoca una fuga, no hay motivo alguno. El infiltrado puede cometer un error que provoque el problema, perder un equipo de la empresa o ser engañado para provocar una fuga de datos con ingeniería social, como el phishing.

¿Cuáles son los indicadores habituales de amenazas internas?

Los cambios de comportamiento pueden ser una señal de problemas. Un infiltrado malintencionado puede:

  • Acudir a la oficina fuera del horario habitual
  • Acceder a archivos y sistemas diferentes a los habituales
  • Descargar archivos en masa
  • Usar dispositivos de almacenamiento
  • Enviar de pronto correos electrónicos con archivos adjuntos muy grandes
  • Trabajar muchas más horas extras

Estas señales no son malas en sí mismas. Puede haber explicaciones completamente razonables para ello, especialmente en el caso de los profesionales de TI.

¿Por qué es importante el control de acceso para los programas de amenazas internas?

Un aspecto fundamental de la protección contra las amenazas internas es el control de acceso, o conjuntos de normas y políticas que deciden quién tiene acceso a lugares, información y sistemas restringidos. Un enfoque es el control de acceso basado en roles, por el que los permisos de cada persona dependen de su departamento y responsabilidades laborales.

El principio de acceso con mínimos privilegios en la seguridad de red implicar dar a los empleados y a otras personas internas acceso únicamente a lo que necesitan para llevar a cabo su actividad laboral, y nada más. Por ejemplo, puede que un profesional de recursos humanos necesite ver información sobre los salarios de los empleados y un programador necesite alterar el código base, pero ninguno de ellos necesita acceder a los archivos del otro.

Esto es parte de lo que hace que la seguridad zero trust sea un modelo eficaz de seguridad de TI. Implica exigir una verificación de identidad para cada persona y dispositivo que desee acceder a un recurso corporativo, incluso si ya está dentro de la red. Mediante la limitación del acceso a usuarios y dispositivos, se reducen las posibles consecuencias por todo tipo de amenazas internas, del mismo modo que la pérdida de una tarjeta de crédito y la pérdida de una cartera difieren mucho en cuanto a los daños que se pudieran producir.

¿Cómo pueden las empresas mitigar el riesgo de amenazas internas?

A la hora de afinar un programa contra amenazas internas, es fundamental tener en cuenta los motivos y cómo configuran el panorama de las amenazas. Tanto en el caso de los infiltrados malintencionados como en el de los que lo hacen por accidente, el cumplimiento estricto de las mejores prácticas de control de acceso puede ser de gran ayuda en la prevención de la pérdida de datos.

Las estrategias incluyen:

  • Trazar un mapa de dónde se almacenan los datos confidenciales y quién tiene acceso a ellos
  • Desarrollar listas de control de los empleados que dejan la empresa y otras personas con información privilegiada, incluyendo la desactivación del acceso a software y aplicaciones de terceros, además de los sistemas internos.
  • Aumentar la vigilancia durante las fusiones y adquisiciones, en los que suelen realizarse cambios en los permisos y el acceso
  • Exigir una formación específica y exhaustiva sobre los riesgos internos producidos de forma accidental, como garantizar que los empleados sepan mantener la privacidad de las contraseñas, denunciar la desaparición de equipos e identificar posibles estafas de ingeniería social

Además de utilizar la gestión de acceso para proteger los datos y los sistemas, el departamento de TI puede establecer límites en los dispositivos que gestione o sean propiedad de la empresa, como bloquear las opciones de transferencia de datos y exigir permiso para descargar nuevo software.

Con las funciones de registro y análisis, es posible establecer alertas para los comportamientos habituales de las amenazas internas para detectar problemas potenciales con antelación. Entre os tipos de alerta se incluyen:

  • Visitas a aplicaciones de intercambio de archivos no aprobadas
  • Acceso a aplicaciones desde dispositivos desconocidos o no gestionados
  • Descargas desde un proveedor de almacenamiento en la nube seguidas de subidas a otro proveedor de almacenamiento en la nube
  • Correos electrónicos con archivos adjuntos más grandes de lo habitual
  • Consultas DNS o HTTP inesperadas (una puerta de enlace web segura puede ayudar a identificar esto)
  • Intentos de obtener mayores privilegios que los requeridos para el puesto de la persona
  • Hacer cambios en muchos archivos en un corto período

Más información sobre cómo Cloudflare Zero Trust simplifica el proceso de establecer controles de acceso basados en funciones y acelera el acceso en remoto.