¿Cómo prevenir las amenazas internas en la ciberseguridad?

Una empresa se basa en la confianza. Pero, ¿qué ocurre cuando esa confianza es brutalmente traicionada por sus empleados?

La IA se utiliza cada vez más en los lugares de trabajo. Según una encuesta de HIMSS, las organizaciones sanitarias afirmaron no ser conscientes de que sus empleados utilizaran la IA para llevar a cabo ataques internos. El 3 % de los encuestados era responsable de actividades maliciosas internas, y muchas de estas empresas sanitarias no contaban con las tecnologías de supervisión necesarias para detectar amenazas internas basadas en la IA.

También podemos examinar la historia y echar un vistazo a la Guerra Civil Inglesa del siglo XVII. Los soldados de Oliver Cromwell invadieron el castillo de Corfe, dando la vuelta a sus casacas para revelar los verdaderos colores del Ejército Real. Este acto de engaño extremo demuestra cómo pueden operar las amenazas internas modernas.

Un ataque interno puede poner patas arriba su empresa. Alguien que en su día tuvo acceso a sus datos, sistemas y redes puede sabotear sus operaciones o causar interrupciones masivas en su negocio. El 29 de enero de 2025, el Museo Británico fue víctima de un ataque interno. El ataque fue causado por el rencor de un ex contratista de TI que había sido despedido una semana antes. El informe de IBM de 2024 sobre el coste de una violación de datos reveló que el 7 % de las violaciones de datos se debían a personas malintencionadas con información privilegiada. Aunque a menudo se supone que las amenazas internas provienen de empleados descontentos, puede que no siempre sea así.

Examinemos este tema a fondo y veamos cómo se desarrolla todo. También analizaremos cómo prevenir las amenazas internas.

¿Qué son las amenazas internas en la ciberseguridad?

Las amenazas internas en ciberseguridad se producen cuando alguien dentro de la organización se infiltra o lanza un ataque malicioso.

Puede tratarse de una persona que intenta deliberadamente abusar de su acceso, robar datos, sabotear sistemas o ayudar a la competencia. O podría deberse a un empleado descontento que quiere vengarse por motivos personales o profesionales.

Los traidores son muy comunes en el ámbito empresarial, y un ejemplo clásico son los administradores de TI que venden secretos privados de la empresa a la competencia. Sin embargo, no todas las amenazas internas en materia de ciberseguridad son intencionadas. Los empleados descuidados que, sin saberlo, ponen en peligro sus activos sensibles o su negocio pueden tener malos hábitos de seguridad o carecer de ciberhigiene.

Un miembro del personal que no conozca la ingeniería social puede hacer clic accidentalmente en un correo electrónico o enlace de phishing proporcionado por hackers. También podrían establecer contraseñas débiles que sean demasiado fáciles de adivinar, lo que podría dar lugar al pirateo de sus cuentas. Si las credenciales de alguien se han visto comprometidas, el hacker puede aumentar sus privilegios de autorización y suponer graves riesgos de seguridad. Sin que nadie lo sepa, podrían incluso acechar en la sombra para realizar reconocimientos y lanzar ataques más adelante.

Si un empleado está colaborando con ciberdelincuentes, podría instalar ransomware o malware para infiltrarse en la organización como espía. Los miembros del personal también pueden compartir documentos comerciales sin la aprobación de la empresa y, en ocasiones, eludir las políticas de TI para obtener beneficios personales. Estas acciones pueden introducir graves vulnerabilidades, que eventualmente se convierten en ataques internos. La esencia es que los ataques internos no pueden producirse desde fuera de una organización. Siempre se producen desde dentro.

Causas comunes de las amenazas internas

Las amenazas internas son totalmente normales, y eso es lo que las hace tan aterradoras. Nunca las verías venir ni esperarías que la persona en la que más confías le hiciera eso a tu organización. Los empleados internos pueden lanzar ataques contra una empresa por varias razones. Pueden estar descontentos con las prácticas o el negocio de la empresaprácticas o el negocio de la empresa. Los empleados autorizados pueden aprovechar su reputación o su acceso a los datos para participar en actividades ilegales o poco éticas.

Dado que la mayoría de nosotros tenemos un modelo de trabajo a distancia, hoy en díaun acceso mucho más amplio a la información confidencial de las empresas. Pueden trabajar desde cualquier lugar con la máxima productividad, pero eso también significa que pueden lanzar amenazas internas a mayor escala, lo que hace mucho más difícil detectar los ataques internos, ya que se mezclan con las actividades cotidianas. Las acciones descuidadas de los empleados negligentes suelen pasar desapercibidas, especialmente cuando todo el equipo está ocupado.

Esto puede manifestarse de diferentes maneras, como no proteger rápidamente los dispositivos, ignorar y no seguir estrictamente las políticas de seguridad de la empresa y descuidar la aplicación de actualizaciones y parches. Los empleados también pueden dejar de asumir su responsabilidad personal por subir o compartir sus datos en línea y subestimar los riesgos esenciales.

Es esencial aclarar su responsabilidad y misión en la protección de la propiedad intelectual de la empresa.

¿Cómo identificar las amenazas internas?

Puede evaluar las amenazas internas midiendo los motivos de los empleados. Cuando expresen sus opiniones, preste atención y no pase por alto estos detalles. Esas pequeñas cosas que dicen y que les preocupan pueden convertirse rápidamente en problemas críticos en el futuro.

Si los miembros de su equipo tienen vínculos débiles entre sí, eso es una señal de alarma. El equipo tendrá una actitud negativa hacia la organización hasta que la ataque, y es solo cuestión de tiempo, así que tenga esto en cuenta.

A continuación se indican algunos indicadores comunes y formas de identificar las amenazas internas:

• Comportamiento inusual al iniciar sesión— ¿Sus empleados inician y cierran sesión de forma irregular? Realice un seguimiento de sus patrones de inicio de sesión y verá comportamientos inusuales. Si se producen intentos de inicio de sesión en horarios extraños, como fuera del horario laboral, es motivo de preocupación. Por lo tanto, compruebe las ubicaciones de inicio de sesión desde la misma cuenta. Revisar los registros de autenticación y buscar intentos fallidos inexplicables de usuarios "admin" o "test" puede dejar pistas.
• Descargas excesivas: ¿Cuál es la cuota de descarga o el ancho de banda habitual de su organización? Sus empleados también tienen su parte correspondiente. Si superan los límites de descarga de su infraestructura local, lo sabrá. Los picos repentinos en las descargas de datos o cualquier descarga realizada desde fuera de la red son señales de alerta.
• Rendimiento deficiente en el lugar de trabajo: Si un empleado ejemplar de repente empieza a rendir mal o a comportarse mal con los demás, sabrá que algo está pasando. Los desacuerdos con las políticas del lugar de trabajo o con los superiores, o las ausencias frecuentes, también son indicadores. Si un empleado dimite inesperadamente, hay que tener cuidado.
• Uso no autorizado de aplicaciones: si hay intentos de acceso no autorizados o uso de aplicaciones más allá del nivel de autoridad de un empleado, se trata de una amenaza interna. Las organizaciones manejan a diario sistemas críticos para su misión, como CRM, ERP y software de gestión financiera. No sería bueno que un empleado aumentara sus privilegios y los manipulara. Esto se aplica a las aplicaciones, las cuentas de usuario y el control total de las redes.

Mejores prácticas para prevenir amenazas internas

No existe una única forma de garantizar la prevención de las amenazas internas. Debe combinar múltiples enfoques y perfeccionar sus tácticas con el tiempo. La seguridad es un proceso iterativo que debe ser proactivo.

Por lo tanto, lo primero que debe hacer es llevar a cabo una auditoría exhaustiva de su infraestructura existente:

• Haga un inventario de sus activos y recursos.
• Identifique las cuentas inactivas y sin actividad en todas las redes.
• Analice los servicios en la nube: vea cuáles se utilizan y cuáles no.
• Evalúe los modelos de suscripción: ¿está pagando de más por los servicios o utiliza un modelo de pago por uso?
• Compruebe la utilización de los recursos: identifique cualquier cosa que se esté utilizando en exceso o que esté infrautilizada.

Estos serán sus puntos de partida y le orientarán sobre cómo prevenir las amenazas internas.

Lo segundo que puede hacer es realizar pruebas de penetración periódicas y buscar vulnerabilidades:

• Busque brechas y puntos débiles en sus sistemas, ya que los empleados pueden aprovecharlos más adelante.
• Selle cualquier brecha de seguridad en sus aplicaciones, servicios e infraestructura antes de que se conviertan en un problema.

Ahora, pasemos al aspecto conductual de las interacciones humanas:

• Observe cómo se comportan y trabajan entre sí los empleados.
• Evalúe la cultura del lugar de trabajo: ¿están los empleados en sintonía o suelen tener desacuerdos?
• Busque signos de insatisfacción y examine si hay sentimientos negativos en el lugar de trabajo.
• Fomente la comunicación abierta: si los empleados tienen miedo de expresar sus preocupaciones, proporcione canales de denuncia anónimos.
• Garantice la responsabilidad de todas las personas que manejan y comparten datos confidenciales.

Otras formas de dominar la prevención de amenazas internas incluyen el empleo de tecnologías de supervisión de la seguridad:

• Utilice herramientas de detección de amenazas basadas en inteligencia artificial para realizar un seguimiento de los comportamientos básicos en todos los recursos y redes.
• Detecte desviaciones en el comportamiento: estas herramientas le alertarán cuando ocurra algo inusual.
• Minimice los falsos positivos y las alertas erróneas para evitar notificaciones engañosas.

Además, incorpore programas de concienciación y formación en ciberseguridad:

• Forme a los empleados en materia de higiene cibernética y asegúrese de que siguen las mejores prácticas de seguridad.
• Manténgalos informados sobre las amenazas emergentes para que sepan qué buscar.
• Evite las fugas accidentales: los empleados que desconocen los riesgos pueden exponer datos confidenciales de forma involuntaria.

Estas son algunas de las mejores prácticas para prevenir las amenazas internas. Pero, una vez más, para obtener la máxima información sobre este tema, debe estar atento, recopilar comentarios y revisar periódicamente su enfoque.

Consideraciones legales y de cumplimiento para la prevención de amenazas internas

En cuanto a las consideraciones legales y de cumplimiento para hacer frente a las amenazas internas, hay que tener en cuenta varios aspectos.

Las normativas de protección de datos son algo de lo que hay que tener cuidado. No conviene infringir ninguna política legal, por lo que es importante mantenerse al día de las últimas normas del sector. Compruebe si su infraestructura cumple con los últimos marcos, como SOC 2, ISO 27001, NIST, CIS Benchmark, etc.

Otra preocupación es cómo procesa y almacena los datos de sus clientes. Si incumple alguna ley pertinente, su organización podría ser demandada, lo que comprometería la reputación de su empresa. Por eso debe garantizar unas prácticas adecuadas de tratamiento de datos.

Contratar auditores internos y externos puede ayudarle a comprobar sus políticas de seguridad, flujos de trabajo y herramientas. Ellos pueden ayudarle.

Su organización podría verse en problemas si los datos se mezclan con información corporativa o confidencial y se comparten en línea. También es conveniente implementar los mejores controles de acceso para limitar el acceso de los empleados a la información confidencial. Las funciones laborales definidas y estrictas evitan el acceso no autorizado y eliminan la posibilidad de fugas de datos en el futuro.

También es conveniente establecer protocolos claros de respuesta a incidentes para investigar los incidentes, documentar las pruebas y contar con procesos para notificar a las autoridades pertinentes. Tome medidas disciplinarias cuando sea necesario. Reajuste sus protocolos en función del panorama de amenazas.

Dependiendo de la ubicación de su empresa, debe cumplir con la jurisdicción local, establecer requisitos de notificación para eliminar las posibilidades de actividades internas y comunicar estos hallazgos a los organismos reguladores. También debe firmar contratos claros que describan las responsabilidades en materia de seguridad y las posibles consecuencias de incumplirlas.

También es conveniente clasificar los datos correctamente en función de los diferentes niveles de sensibilidad y proteger la información crítica. Consulte a profesionales del ámbito jurídico para investigar su perfil de riesgo en cuanto a amenazas internas y garantizar el cumplimiento normativo. Obtener una perspectiva externa puede ayudarle a identificar anomalías y detectar incidentes futuros.

También debe emplear las mejores herramientas de supervisión del acceso de los usuarios para identificar valores atípicos o signos de comportamiento sospechoso en el trabajo.

Incidentes de amenazas internas en el mundo real

Hemos visto varios casos de amenazas internas en el mundo real. Por ejemplo, los piratas informáticos suelen atacar a organizaciones sanitarias y robar historiales de pacientes para venderlos posteriormente en la web oscura.

El uso indebido de privilegios es habitual; algunos errores se deben a una configuración incorrecta y a pérdidas de datos. Verizon ha registrado más del 83 % de las violaciones de seguridad en el sector sanitario. Las credenciales comprometidas son otra de las razones que alimentan estos ataques internos.

Cada año observamos patrones comunes, y una de las noticias más recientes se refiere a Moveit, que se vio afectada por ataques de ransomware y denegación de servicio. Gracias a filtraciones internas, Moveit fue hackeado.

A los tres días de su implementación, MixMode descubrió varios ataques de estados nacionales y amenazas internas en su infraestructura crítica. Sin embargo, los ataques no fueron suficientes para detener las amenazas.

También está el caso de los hackers norcoreanos que crearon una identidad falsa de trabajador de TI para atacar a la empresa de ciberseguridad KnowBe4. La amenaza de este ataque es que el Pentágono podría utilizarlo para tomar el control del espacio.Recientemente, Peter Hegseth, elegido por Donald Trump para el Pentágono, ha sido calificado como una amenaza interna debido a un tatuaje cuestionable en su bíceps. El tatuaje, que era de supremacía blanca, suscitó preocupación, y un compañero de servicio lo calificó de amenaza interna. Hay mucho margen para la duda en este caso, y él aún no ha actuado con malicia, pero ¿quién sabe?

No queremos entrar en política en este artículo, pero las amenazas internas pueden ocurrir en cualquier momento. Tener en cuenta las creencias y opiniones de las personas es parte del proceso, especialmente cuando asumen puestos de liderazgo.

Mitigue las amenazas internas con SentinelOne

SentinelOne utiliza la detección y el análisis de amenazas mediante IA para ayudarle a detectar amenazas internas. Gracias a su corrección automatizada, puede resolver todas las vulnerabilidades críticas de su infraestructura con un solo clic. SentinelOne también puede realizar auditorías basadas en la nube y de TI para garantizar que su infraestructura cumpla con la normativa. Comprobará y comparará sus parámetros de seguridad con las últimas normas reglamentarias, como PCI-DSS, HIPAA, CIS Benchmark, ISO 27001 y cualquier marco normativo futuro.

La Purple AI, un analista de ciberseguridad de IA generativa, puede proporcionar claridad e información de seguridad sobre su situación actual. La tecnología patentada Storylines™ de SentinelOne puede reconstruir artefactos, realizar análisis forenses cibernéticos y proporcionar detalles sobre eventos históricos. Si notiene un plan de respuesta ante incidentes, Vigilance MDR+DFIR de SentinelOne’s puede ayudarle.

Lo que hace único a SentinelOne es que ofrece las mejores herramientas y flujos de trabajo para la detección de amenazas internas, al tiempo que tiene en cuenta el factor humano. El equipo de expertos de SentinelOne está constantemente disponible para responder a todas sus preguntas; puede ponerse en contacto con ellos en cualquier momento.

Con su avanzada tecnología de protección de endpoints, SentinelOne puede supervisar las actividades de sus endpoints y usuarios. Su plataforma Singularity™ XDR puede buscar las últimas amenazas y detectar anomalías en sus redes, usuarios y dispositivos. Puede ampliar su ámbito de cobertura con el CNAPP sin agente de SentinelOne. La plataforma CNAPP ofrece funciones como la gestión de la postura de seguridad en la nube (CSPM), gestión de la postura de seguridad de Kubernetes (KSPM), detección y respuesta en la nube (CDR), escaneo de infraestructura como código (IaC), escaneo de secretos, gestión de la superficie de ataque externa (EASM), gestión de vulnerabilidades y gestión de la postura de seguridad de SaaS (SSPM). Su Offensive Security Engine™ con Verified Exploit Paths™ puede detectar y prevenir ataques antes de que se produzcan.

La solución AI-SIEM de SentinelOne puede recopilar datos de telemetría en la nube para su posterior análisis. Puede correlacionar eventos, contextualizarlos y eliminar datos falsos mediante su limpieza. La inteligencia global sobre amenazas de SentinelOne, combinada con Singularity™ Data Lake, garantiza que los datos se recopilen de diversas fuentes. Puede identificar tipos de datos y proporcionar información precisa sobre seguridad a partir de información sin procesar y no estructurada.

SentinelOne también puede generar informes de cumplimiento desde su panel de control unificado y centralizar la información de seguridad.

Reserve una demostración en vivo gratuita.

Conclusión

Las amenazas internas son reales y pueden infiltrarse incluso en los sistemas de seguridad más robustos. Son fenómenos del mundo real impulsados por la venganza, la codicia o la simple negligencia. Las organizaciones pueden mantener a raya estas amenazas con las herramientas adecuadas, como soluciones de supervisión basadas en la inteligencia artificial, políticas abiertas y una cultura de confianza.

Todos, desde los empleados de primera línea hasta los directivos ejecutivos, deben desempeñar su papel para garantizar una parte de la responsabilidad en el mantenimiento de la salud de la organización. Ninguna medida puede sustituir a la vigilancia, la comunicación y la acción continuas. Las amenazas internas pueden mantenerse a raya, pero debe existir una firme confianza en la tecnología y en el factor humano. Por lo tanto, manténgase a la vanguardia. Póngase en contacto con SentinelOne hoy mismo para obtener ayuda.

"