¿Qué estás buscando?

Hace apenas unos días, la firma de ciberseguridad CrowdStrike confirmó el despido de un empleado tras descubrir que había filtrado capturas de pantalla internas a un grupo de hackers.

Las imágenes mostraban paneles sensibles de administración, incluyendo un panel de SSO con acceso a sus credenciales corporativas. Aunque CrowdStrike afirma que no se produjo un compromiso real de los sistemas ni se expuso información de clientes, el incidente pone de relieve lo que muchas veces se subestima.

Si una empresa altamente conocida en temas de ciberseguridad ha sido una víctima de un insider, todos deberíamos estar en alerta, ya que no podemos quedar exentos de esta amenaza.

¿Qué es una amenaza insider?

Una amenaza insider ocurre cuando alguien con acceso legítimo a los sistemas —empleados, ex-empleados, proveedores o colaboradores— usa ese acceso para filtrar, alterar o robar información. Pero no siempre con intención maliciosa — muchas veces basta con un error humano, una intención negligente o una cuenta comprometida.

La IA es también un componente “estratégico” ya que el usuario puede llegar a hacer un uso indiscriminado y, sin conocimiento, de que está alimentando a un sistema que, sin mala intención a priori, se le puede llegar a dar información confidencial.

Las consecuencias pueden ser graves y ya las sabemos todos: robo o fuga de datos sensibles, pérdida de propiedad intelectual, incumplimiento normativo, daño reputacional, impactos operativos, etc.

SOLUCIONES

¿Cómo defenderse frente a insiders?

La protección eficaz frente a amenazas internas requiere un enfoque multicapa: tecnología, procesos y concienciación. Algunas de las claves:

• Implementar soluciones de DLP/Protección de Datos
• Sistemas de DLP (Data Loss Prevention) algunos los cuales permiten clasificar, monitorizar y controlar el uso de datos sensibles, en endpoints, almacenamiento en nube, correo, redes corporativas, etc.
• Con un DLP bien configurado puedes bloquear o alertar movimientos peligrosos, por ejemplo: copias a USB, mails fuera del dominio empresarial, descargas masivas, impresiones no autorizadas, subidas a la nube particular de los empleados, etc.
• Además, mantienes un registro y auditoría de quién accedió a qué, cuándo y desde dónde — clave para detectar actividad sospechosa o investigar incidentes.
• Monitoring del comportamiento/Análisis de anomalías
• Herramientas de User & Entity Behavior Analytics (UEBA) o basadas en IA pueden detectar patrones atípicos: accesos fuera de horario, descargas masivas, movimientos de documentos, picos de actividad, etc.
• Complementan al DLP, añadiendo contexto: no sólo “qué dato” se movió, sino “cómo” y “quién lo hizo”, facilitando la detección siempre proactiva.
• Gobierno de accesos y privilegios
• Principio de mínimos privilegios: cada usuario solo tiene acceso a lo estrictamente necesario.
• Revisiones periódicas de privilegios.
• Segregación de funciones críticas.
• Off-boarding cuidadoso: revocar accesos, credenciales, tokens, dispositivos al abandonar la empresa. Una buena política de IAM es siempre bienvenida.
• Políticas claras de uso de dispositivos, datos y canales de comunicación.
• Cultura, formación y concienciación continua
• Un buen programa de concienciación en ciberseguridad es esencial, un firewall no protege contra la ignorancia del usuario. Si no se le explica bien al usuario cuales pueden ser las consecuencias y, explicado de un modo no técnico, no sabrá que es lo que se le está explicando.
• Formación continua: no basta una sesión puntual al año. Es aconsejable evitar los Power Points. Una formación presencial vale más que 100 PPT’s!
• Simulaciones internas (phishing, envío de datos sensibles, escenarios de fuga): ayudan a interiorizar buenas prácticas.
• Concienciar sobre responsabilidad individual: cada empleado debe ser consciente de que también tiene poder —y responsabilidad— sobre la seguridad.
• Una píldora informativa/formativa semanal, dan mucho de sí.

CONCLUSIÓN

Lo que hemos aprendido del caso CrowdStrike

• Si una empresa de primera línea puede sufrir un incidente insider, ninguna organización está libre de riesgo — es un recordatorio firme.
• Las defensas no bastan: hay que asumir que el riesgo, en bastantes ocasiones, viene “desde adentro”.
• Es imprescindible combinar herramientas técnicas (DLP, UEBA, PAM, IAM, SIEM…) con controles operativos, buenas políticas y formación permanente.
• La detección rápida, la respuesta inmediata y la revocación de accesos son claves para limitar el impacto — algo que CrowdStrike aparentemente gestionó bien, evitando fuga de datos cliente.

Enric Sandoval Balaguer

Govertis, parte de Telefónica Tech