Las amenazas internas representan una de las mayores amenazas para la ciberseguridad a las que se enfrentan las empresas actuales. Los usuarios internos son empleados, contratistas o partners comerciales con acceso legítimo a la red, los sistemas o los datos de una empresa. Algunos hacen un uso indebido de su acceso de forma intencionada, mientras que otros cometen errores o son víctimas de ciberdelincuentes.
El coste de estas amenazas aumenta cada año. Según el Ponemon Institute, el coste medio de una amenazas interna ha aumentado hasta los 17,4 millones de dólares, respecto a los 16,2 millones de dólares de 2023. Y el informe de IBM sobre el coste de una fuga de datos (Cost of a Data Breach Report) muestra que las fugas provocadas por usuarios internos maliciosos son las más costosas, con una media de 4,99 millones de dólares por incidente.
Es un riesgo que las empresas no pueden permitirse ignorar. Así que, ¿cómo proteger su empresa? Comienza con la comprensión de los riesgos y la creación de un sólido programa de gestión de amenazas internas. A continuación, explicaremos qué son realmente las amenazas internas, por qué son tan peligrosas y cómo detenerlas.
Comprensión de las amenazas internas
Las amenazas internas pueden ser intencionadas o accidentales. En cualquier caso, pueden provocar graves incidentes de seguridad con importantes repercusiones.
Tipos de amenazas internas
Conocer los distintos tipos de amenazas internas es crucial para aplicar medidas de seguridad eficaces que protejan los datos confidenciales de su organización. Estos son los principales tipos que hay que tener en cuenta:
- Usuarios internos maliciosos. Personas que causan daños intencionadamente, como el robo, la filtración o la destrucción de datos.
- Usuarios internos negligentes. Usuarios que ponen en peligro los datos sin saber.
- Usuarios internos comprometidos. Usuarios cuyas cuentas han sido robadas por atacantes externos.
Cómo se convierten en amenazas los usuarios internos
Las amenazas suelen dividirse en dos categorías: involuntarias e intencionadas.
Amenazas internas involuntarias
Este tipo de amenaza interna suele deberse a usuarios negligentes. Estos usuarios cometen errores sin mala fe, como descargar malware, o realizan acciones arriesgadas, como enviar correos electrónicos a destinatarios equivocados, añadir archivos adjuntos erróneos o transferir datos sensibles a sus cuentas de correo electrónico personales con fines profesionales.
Aunque estos incidentes puedan parecer inofensivos, las consecuencias pueden ser desastrosas, sobre todo cuando se comparte información sensible o confidencial con la persona, el cliente o el proveedor equivocados. Sin embargo, estos incidentes son difíciles de prever y detectar, y pueden pasar desapercibidos hasta que ya se han causado daños importantes.
Amenazas internas intencionadas
Este tipo de amenaza se debe a usuarios maliciosos que pueden ser empleados, partners comerciales, proveedores de servicios u otros terceros. Se trata de personas que tienen acceso a datos sensibles y sistemas críticos, que cometen fraude, sabotaje o espionaje deliberadamente en beneficio propio, para perjudicar a su empresa, o ambas cosas.
La pérdida de datos sensibles puede ser especialmente perjudicial y dañina. Según el informe Data Loss Landscape en 2024 de Proofpoint, el 85 % de las empresas entrevistadas admitieron haber sufrido al menos un incidente de pérdida de datos. Para el 50 %, este incidente provocó la interrupción de la actividad.
Casos destacados de amenazas internas
Más allá de las fugas de datos: el caso de amenaza interna de un ingeniero de Google
El caso de Linwei Ding, antiguo ingeniero de Google, es un ejemplo importante de amenaza interna. Los fiscales estadounidenses sostienen que robó secretos comerciales de inteligencia artificial mientras trabajaba en secreto con dos empresas chinas.
¿Qué sucedió?
Ding subió supuestamente más de 1000 archivos confidenciales de Google, que incluían detalles sobre los sistemas de supercomputación de Google utilizados para el entrenamiento de IA. Algunos planos de chips robados dieron a Google una ventaja sobre rivales como Amazon y Microsoft. Ding tenía vínculos no revelados con empresas chinas y planeaba convertirse en el director de Tecnología de una de ellas. Fue detenido antes de poder salir de Estados Unidos.
¿Por qué es importante?
Las amenazas internas no se limitan a las filtraciones de datos. Pueden implicar robos de propiedad intelectual, sabotajes e incluso riesgos para la seguridad nacional. Este caso demuestra que incluso las grandes empresas tecnológicas son vulnerables. Una seguridad interna sólida es tan importante como las defensas externas.
Espionaje corporativo en tecnología: Rippling contra Deel
Rippling, una startup de gestión de personal, ha demandado a su competidora Deel, acusándola de espionaje corporativo.
¿Qué sucedió?
Un empleado de Rippling habría ejecutado miles de búsquedas no autorizadas con el fin de obtener información interna sobre Deel. Al detectar la actividad sospechosa del empleado, el equipo de seguridad de Rippling creó un canal falso en Slack, “d-defectors”, como trampa para probar la implicación de la cúpula directiva de Deel. Posteriormente, envió una carta en la que hacía alusión a dicho canal de Slack a tres directivos de alto nivel. Poco después, el infiltrado intentó acceder al canal, lo que confirmó sus sospechas.
Al recibir una orden judicial para entregar su teléfono, el empleado se encerró en un baño, presumiblemente para borrar pruebas. Cuando le advirtieron que eliminar pruebas podía llevarlo a prisión, respondió que “estaba dispuesto a correr ese riesgo”.
¿Por qué es importante?
Este no es solo un caso de robo de datos: es espionaje corporativo. Las amenazas internas no siempre se presentan como un hacker forzando la entrada. A veces, son empleados de confianza que actúan desde dentro. Este caso demuestra que las empresas necesitan algo más que una ciberseguridad robusta. También necesitan mecanismos para detectar comportamientos sospechosos antes de que se produzcan daños reales.
Objetivos de un programa de gestión de amenazas internas
Detectar amenazas internas potenciales
La detección temprana es fundamental Esto implica utilizar herramientas como el análisis del comportamiento y la supervisión de la actividad de los usuarios para detectar acciones inusuales. Por ejemplo, si un empleado comienza de repente a descargar grandes cantidades de datos sensibles o a acceder a archivos fuera del ámbito habitual de su trabajo, podría ser señal de una amenaza potencial.
Prevenir incidentes a través de la formación y la concienciación
Muchas amenazas internas son fruto de la imprudencia. Por eso es tan importante formar a los usuarios en ciberseguridad. Hay que dar a las personas los conocimientos necesarios para cumplir con los protocolos de seguridad e identificar comportamientos sospechosos.
Crear procesos para investigar y responder a las amenazas.
Incluso con las mejores medidas preventivas, los incidentes internos siguen ocurriendo. Cuando suceden, las organizaciones necesitan un plan claro para investigarlos y responder con rapidez. Esto implica contar con un equipo especializado capaz de analizar lo sucedido y tomar las medidas adecuadas, ya sea hacer un seguimiento del usuario, aplicar sanciones disciplinarias o emprender acciones legales.
Encontrar el equilibrio entre privacidad y seguridad
Uno de los objetivos clave de cualquier programa de gestión de amenazas internas es equilibrar la privacidad de los usuarios con los controles de seguridad. La transformación digital ha provocado un enorme aumento en la cantidad de datos, mientras que la información empresarial sensible es ahora más vulnerable debido al trabajo remoto y a la proliferación de dispositivos. Proteger estos datos es fundamental, pero debe hacerse de una forma que respete la privacidad de los usuarios.
A nivel mundial, los gobiernos han promulgado normativas para regular este equilibrio. Algunos ejemplos:
- RGPD (Reglamento General de Protección de Datos)
- CCPA (California Consumer Privacy Act, ley sobre la privacidad del consumidor de California)
- HIPAA (Health Insurance Portability and Accountability Act, ley sobre la portabilidad y responsabilidad de los seguros de salud)
- LGPD (Lei Geral de Proteção de Dados, ley general de protección de datos de Brasil)
Estas leyes son cada vez más complejas, y el cumplimiento se ha convertido en una prioridad clave para los equipos de recursos humanos y legal. Para tener éxito, su programa debería responder preguntas como:
- ¿Cómo se recogerán, utilizarán y borrarán los datos?
- ¿Cómo se protegerá la privacidad?
- ¿Qué mecanismos de control y equilibrio se implementarán?
- ¿Cómo se protegerá la propiedad intelectual?
Al abordar estas cuestiones, su programa podrá proteger los datos sensibles sin comprometer los derechos de privacidad ni la cultura de la empresa.
Proteger los de recursos críticos y la propiedad intelectual
En el núcleo de cualquier programa de gestión de amenazas internas está la necesidad de proteger los activos valiosos de la empresa, como los secretos comerciales, los registros financieros y los datos de los clientes. Puedes reducir el riesgo implementando controles de acceso, cifrado de datos sensibles y herramientas de prevención de la pérdida de datos (DLP) para proteger la información confidencial y restringir su acceso. Otro paso fundamental es limitar el acceso a los datos confidenciales según los roles de los empleados y eliminar ese acceso cuando abandonan la organización.
Componentes clave de un programa eficaz de gestión de amenazas internas
Un programa eficaz de gestión de amenazas internas requiere un enfoque integral que combine personal, tecnología, políticas, formación y evaluaciones continuas.
Definir quién forma parte del equipo encargado de las amenazas internas
Es necesario contar con un equipo dedicado a gestionar y mitigar este tipo de amenazas. Este equipo debe incluir miembros de varios departamentos:
- Seguridad: gestiona los riesgos de seguridad, identifica posibles amenazas e implementa estrategias de protección.
- Recursos Humanos: hace cumplir las políticas y se encarga de cualquier problema relacionado con el comportamiento de los empleados.
- Legal y cumplimiento normativo: garantiza que la organización cumpla con la legislación vigente y gestiona las implicaciones legales cuando esto no ocurre.
Miembros del equipo directivo: ofrecen supervisión y orientación estratégica.
Implementar tecnología y herramientas
Las herramientas adecuadas deben incluir capacidades como:
- Supervisión de actividad para rastrear el comportamiento de los usuarios y el movimiento de datos.
- Análisis del comportamiento impulsado por IA para identificar patrones de riesgo en los usuarios.
- Controles de acceso y privacidad para restringir el acceso a datos según el rol del usuario.
- Registros de auditoría y análisis para detectar posibles riesgos.
- Detección de anomalías mediante IA para identificar comportamientos fuera de lo común.
Crear políticas y procedimientos
Es fundamental establecer normas claras para mitigar riesgos. Estas deben incluir:
- Políticas de uso aceptable: definen el uso adecuado de los recursos de la empresa.
- Políticas de control de acceso: restringen y supervisan el acceso a los datos.
- Procedimientos de denuncia: animan a los empleados a denunciar actividades sospechosas.
- Acciones disciplinarias: describen las consecuencias por incumplimientos de las políticas.
Formar a los empleados de forma regular
Educar a los empleados sobre las amenazas internas les permite reconocer riesgos y responder con seguridad. Una formación eficaz debe incluir:
- Identificación de amenazas internas. Los empleados deberían ser capaces de identificar señales de alerta como solicitudes de acceso inusuales, transferencias de datos masivas o cambios repentinos de comportamiento. Fomentar una cultura de vigilancia facilita la detección temprana.
- Ciberhigiene. Fomentar buenos hábitos de seguridad, como el uso de contraseñas seguras, la identificación de correos de phishing y la gestión segura de los datos. La formación debe incluir la autenticación multifactor (MFA), la ingeniería social y la eliminación adecuada de datos.
- Confidencialidad y cumplimiento. La formación debe abarcar la clasificación de datos, las principales normativas y las consecuencias del incumplimiento.
Elaborar un plan de respuesta a incidentes
Un plan de respuesta a incidentes bien estructurado permite minimizar los daños y recuperarse rápidamente. Debe incluir:
- Identificación y contención. Aislar rápidamente los sistemas o el personal afectados.
- Investigación y evaluación. Determinar el alcance y el impacto de la amenaza.
- Mitigación y corrección. Implementar medidas correctivas.
- Revisión posterior al incidente. Aprender de los incidentes para mejorar la respuesta futura.
Medir la eficacia del programa
Para asegurarse de que su programa sea eficaz, debe hacer un seguimiento de métricas claras de éxito, como cuántos incidentes se detectan, con qué rapidez se responde a ellos y en qué medida su organización cumple con las políticas de seguridad. Esto le permitirá identificar debilidades, mejorar la formación, ajustar sus estrategias y reforzar la seguridad general.
También es importante recopilar la opinión de los empleados mediante encuestas, evaluar su nivel de concienciación en materia de seguridad y comprobar cómo están cumpliendo con las políticas establecidas.
Conclusión
Las empresas no pueden permitirse ignorar las amenazas internas. Ya sea por malicia o por negligencia, pueden desencadenar incidentes graves que conlleven pérdidas económicas y daños reputacionales. Por eso es tan importante contar con un programa proactivo de gestión de amenazas internas. Al centrarte en la detección temprana, establecer políticas claras, formar al personal y contar con las herramientas de seguridad adecuadas, puede reducir el riesgo y proteger sus activos más valiosos.
Ahora es un buen momento para revisar sus medidas de seguridad: ¿Está haciendo lo suficiente para detectar y mitigar las amenazas internas? Si quiere crear o mejorar su programa de gestión de amenazas internas, descubra cómo empezar con este libro electrónico.