¿Qué son los Insiders?

¿Qué son los Insiders?

Tiempo estimado de lectura: 9 minutos


Esta conferencia magistral pertenece al Módulo 3 "Securización de entornos personales y de trabajo" de C1b3rWall Academy 2021. El objetivo de la misma es conocer una de las amenazas más actuales y que está presente en todas las organizaciones y empresas: los insiders.

Introducción

Se llama insiders a las amenazas internas, es decir, miembros de las organizaciones que actúan en contra de estas, dañan sus sistemas, etc. Antes de comenzar con ellos, es importante conocer el estado actual de la ciberseguridad y las amenazas existentes, ya que la creciente digitalización de los servicios públicos y privados está haciendo crecer la dependencia de la sociedad por los sistemas IT, lo que está directamente relacionado con el boom de los ciberataques. A más servicios, más superficie a la que los atacantes pueden intentar atacar y, por tanto, más inversión hay que hacer para defenderla. 

¿Tan reales son las amenazas de ciberseguridad?

En España se detectaron 1.200 millones de ciberataques tipificados como altos en 2020 y se están invirtiendo durante el presente año unos 1.300 millones de euros en el sector de la ciberseguridad. Según diversos estudios sobre la evolución de las amenazas a nivel global, las relacionadas con ciberseguridad están en continuo crecimiento, situándose cerca de las amenazas relacionadas con el cambio climático y los desastres naturales.

¿Quién está detrás de estas amenazas?

Los actores de las amenazas son varios y se pueden distinguir por su composición y motivaciones. Algunos de ellos son:

  • Las naciones. Movidas por estrategias geopolíticas, se atacan entre ellas, intentan influir en decisiones internacionales y participan en movimientos de la ciberguerra.
  • Los cibercriminales. Movidos por el dinero, atacan a empresas de todo tipo o hacen campañas globales para distribuir ataques phishing o malware.
  • Los hacktivistas. Actúan por su ideología y atacan organizaciones, gobiernos y otros entes que van en contra de esa ideología.
  • Los grupos terroristas. En la actualidad, tienen ramas dedicadas a realizar ataques a infraestructuras críticas con el fin de desestabilizar e imponer el miedo en la sociedad.
  • Los thrill-seekers. Actúan movidos por la sensación de adrenalina que les produce robar información confidencial o acceder a infraestructuras prohibidas.
  • Los insiders. Movidos por el descontento u otras razones, actúan en contra de su propia organización. 

Insiders y tipos de amenaza interna

Los insiders aprovechan la información que tienen por su pertenencia a la organización para ejecutar un ataque informático, filtrar datos, suplantar personal, etc. Pueden establecerse colaboraciones entre amenazas internas y externas. El 58% de los incidentes de ciberseguridad están relacionados con este tipo de amenazas. Los tipos de amenaza interna son:

  • Empleado descuidado que filtra por error información de la empresa.
  • Empleado engañado por un agente externo para facilitarle información, filtrar datos, etc. 
  • Empleado descontento con la compañía que sabotea sistemas, roba información o realiza otro tipo de ataques con el fin de dañar medios físicos, digitales e incluso la imagen de la empresa.
  • Empleado desleal que obtiene información o ataca sistemas de la empresa en su propio beneficio.
  • Empleado que realiza acciones que comprometan los sistemas de la empresa o filtra información a cambio de pagos de un tercero.
  • Empleado falso que actúa como espía de organizaciones gubernamentales o de otras empresas. Su objetivo es robar información o dañar sistemas de la empresa sin dejar rastro.

Casos reales

Algunos casos a mencionar por la información que se filtró o por el tipo de amenaza interna son:

  • Brecha de datos de Microsoft: un empleado negligente dejó una base de datos con 250 millones de registros de clientes accesible para todo el mundo.
  • Minado de criptomonedas en un superordenador: un empleado desleal que utilizó un superordenador de un laboratorio de tecnología nuclear para minar bitcoins.
  • Hackeo de Twitter: aprovechando el confinamiento y que todos los empleados estaban en sus domicilios, se inició una campaña de vishing contra técnicos de IT de Twitter para conseguir acceder a cuentas de personalidades como Barack Obama o Joe Biden. Desde estos perfiles se inició una estafa con criptomonedas. El tipo de amenaza interna en este caso son empleados engañados.
  • Robo de dispositivos físicos en Coca-Cola: un empleado descontento robó un disco duro con datos de recursos humanos de 8.000 empleados y los intentó vender en la dark web.
  • Intento de robo de datos de Tesla: se le ofreció un millón de dólares a un empleado para introducir malware a través de un USB. Al organizador del ataque se le condenó a cinco años de cárcel y una multa de 250.000 dólares.

Medidas de protección y prevención

  • Establecer políticas y controles sobre la información a la que acceden los empleados.
  • Planes de formación.
  • Prestar atención a los procesos de contratación.
  • Tener en cuenta a los insiders en los sistemas de gestión de la seguridad de la información.
  • Establecer las medidas de ciberseguridad adecuadas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Pablo Plaza Martínez

Pablo es analista de ciberseguridad en el Grupo de Investigación BISITE, miembro de la selección española de ciberseguridad y participante en competiciones CTF a nivel nacional e internacional. Además, es cofundador del blog ironhackers.es