Gestión de riesgos

El peligro desde dentro

Astraed

16 min read
El peligro desde dentro

Resumen.

Reimpresión: R1409G

El ciberataque de 2013 contra Target es solo un ejemplo reciente de un fenómeno creciente: los ataques que involucran a empresas conectadas o empleados directos. Según varias estimaciones, al menos 80 millones de estos ataques ocurren en los Estados Unidos cada año, pero el número puede ser mucho mayor, porque a menudo no se denuncian.

Upton y Creese dirigen un proyecto de investigación internacional cuyo objetivo es ayudar a las organizaciones a detectar y neutralizar las amenazas de los internos. Su equipo incluye especialistas en seguridad informática, educadores de gestión, psicólogos y criminólogos, entre otros, y sus hallazgos desafían las opiniones y prácticas convencionales. «Las puertas que dejan a las organizaciones vulnerables a los ataques internos», escriben, «son mundanas y ubicuas».

En este artículo se analizan las causas del crecimiento del número de ciberataques internos, las razones detrás de ellos y las cinco formas de abordar el problema: Adoptar una política sólida de información privilegiada en todos los niveles de la organización; crear conciencia sobre el phishing y otras tácticas; examinar minuciosamente a los nuevos empleados; emplear rigurosos procesos de subcontratación; e informar a los empleados de que observará su ciberactividad en la medida en que lo permita la ley.

Toma esto evaluación para ver qué tan resistente es su organización a los ciberataques internos y si está ayudando o perjudicando la causa.

Todos conocemos el ciberataque de 2013 contra Target, en el que los delincuentes robaron los números de tarjetas de pago de unos 40 millones de clientes y los datos personales de unos 70 millones. Esto empañó la reputación de la empresa, provocó que sus beneficios se desplome y le costó puestos de trabajo a su CEO y CIO de TI. Lo que es menos conocido es que, aunque los ladrones eran forasteros, consiguieron entrar en los sistemas de la cadena minorista utilizando las credenciales de un experto: uno de los vendedores de refrigeración de la empresa.

La desgracia de Target es solo un ejemplo reciente de un fenómeno creciente. Los ataques externos —el hackeo generalizado de propiedad intelectual de China, el virus Stuxnet, las escapadas de los gánsteres de Europa del Este— reciben mucha atención. Sin embargo, los ataques que involucran a empresas conectadas o empleados directos representan una amenaza más perniciosa. Las personas con información privilegiada pueden causar un daño mucho más grave que los hackers externos, porque tienen un acceso mucho más fácil a los sistemas y una ventana de oportunidad mucho mayor. Los daños que causan pueden incluir la suspensión de las operaciones, la pérdida de la propiedad intelectual, el daño a la reputación, el desplome de la confianza de los inversores y los clientes, y la filtración de información confidencial a terceros, incluidos los medios de comunicación. Según diversas estimaciones, al menos 80 millones de ataques internos ocurren en los Estados Unidos cada año. Pero el número puede ser mucho mayor, porque a menudo no se informa. Claramente, su impacto asciende ahora a decenas de miles de millones de dólares al año.

Muchas organizaciones admiten que todavía no cuentan con las salvaguardias adecuadas para detectar o prevenir ataques que involucran a personas con información privilegiada. Una razón es que siguen negando la magnitud de la amenaza.

En los últimos dos años hemos liderado un proyecto de investigación internacional cuyo objetivo es mejorar significativamente la capacidad de las organizaciones para descubrir y neutralizar las amenazas de los internos. Patrocinado por el Centro para la Protección de la Infraestructura Nacional (CPNI), que forma parte del servicio de seguridad MI5 del Reino Unido, nuestro equipo de 16 miembros combina especialistas en seguridad informática, académicos de escuelas de negocios que trabajan en gobierno corporativo, educadores de gestión, expertos en visualización de información, psicólogos y criminólogos de Oxford, la Universidad de Leicester y la Universidad de Cardiff.

Nuestro enfoque interdisciplinario ha dado lugar a hallazgos que desafían los puntos de vista y las prácticas convencionales (consulte la barra lateral «Prácticas comunes que no funcionan»). Por ejemplo, muchas empresas ahora intentan evitar que los empleados utilicen computadoras de trabajo para acceder a sitios web que no están directamente conectados con sus trabajos, como Facebook, sitios de citas y sitios políticos. Creemos que deberían dar a los empleados la libertad de ir adonde quieran en la web, pero utilizar software de seguridad de fácil acceso para supervisar sus actividades, proporcionando así información importante sobre comportamientos y personalidades que les ayudará a detectar peligros. En este artículo compartimos nuestros hallazgos sobre formas efectivas de minimizar la probabilidad de ataques internos.

Prácticas comunes que no funcionan

Las salvaguardias de ciberseguridad más comunes son mucho menos eficaces contra los internos que contra los forasteros.

Controles de acceso

Las reglas que prohíben a las personas utilizar dispositivos corporativos para tareas personales no les impedirán robar activos.

Administración de vulnerabilidades

Los parches de seguridad y los verificadores de virus no impedirán ni detectarán el acceso de empleados autorizados malévolos o terceros que utilicen credenciales robadas.

Protección de límites fuerte

La colocación de activos críticos dentro de un perímetro reforzado no evitará el robo por parte de las personas autorizadas para acceder a los sistemas protegidos.

Política de contraseñas

Elegir contraseñas complejas o que se cambian con frecuencia significa que a menudo terminan en notas Post-it, una elección fácil para alguien con acceso físico.

Programas de conciencia

El simple hecho de exigir a los empleados que lean anualmente la política de seguridad de IT de la empresa no les confiere por arte de magia la ciberconciencia. Tampoco impedirá que los miembros del personal tomen acciones perjudiciales.

Un riesgo no apreciado

Las amenazas internas provienen de personas que aprovechan el acceso legítimo a los ciberactivos de una organización con fines no autorizados y maliciosos o que crean vulnerabilidades sin saberlo. Pueden ser empleados directos (desde limpiadores hasta los directivos), contratistas o proveedores externos de datos y servicios informáticos. (Edward Snowden, quien robó información confidencial de la Agencia de Seguridad Nacional de los Estados Unidos, trabajó para un contratista de la NSA). Con este acceso legítimo, pueden robar, generar disrupción o dañar los sistemas informáticos y los datos sin ser detectados por las soluciones de seguridad ordinarias basadas en el perímetro, controles que se centran en los puntos de entrada en lugar de en qué o quién ya está dentro.

Según Vormetric, una empresa líder en seguridad informática, el 54% de los directivos de las grandes y medianas organizaciones afirman que detectar y prevenir los ataques internos es más difícil hoy que en 2011. Además, estos ataques están aumentando tanto en número como en porcentaje de todos los ciberataques denunciados: un estudio de KPMG reveló que habían pasado del 4% en 2007 al 20% en 2010. Nuestra investigación sugiere que el porcentaje ha seguido creciendo. Además, los ataques externos pueden implicar la ayuda consciente o desconocida de personas internas. El incidente de Target es un ejemplo de ello.

Causas del crecimiento

Una serie de factores en el cambiante panorama de IT explican esta creciente amenaza. No son particularmente sorprendentes, y ese es el punto. Las puertas que dejan a las organizaciones vulnerables a los ataques internos son mundanas y ubicuas.

Un aumento espectacular del tamaño y la complejidad de la IT.

¿Sabe qué personas administran sus servicios basados en la nube, con quién cohabita en esos servidores y qué tan seguros son los servidores? ¿Qué tan confiables son aquellos que le proporcionan otras actividades subcontratadas, como centros de llamadas, logística, limpieza, recursos humanos y gestión de relaciones con los clientes? En 2005, cuatro titulares de cuentas de Citibank en Nueva York fueron defraudados por personal del centro de llamadas con sede en Pune, India, por casi 350.000 dólares. Los culpables eran empleados de una empresa de software y servicios a la que Citibank había externalizado su trabajo. Habían recopilado los datos personales, los PIN y los números de cuenta de los clientes.

Ahora abundan los sitios de la «Dark Web», donde intermediarios sin escrúpulos venden grandes cantidades de información confidencial. Todo, desde las contraseñas de los clientes y la información de las tarjetas de crédito hasta la propiedad intelectual, se vende en estos sitios clandestinos. Las personas con información privilegiada suelen estar dispuestas a proporcionar acceso a esos activos a cambio de sumas muy inferiores a su valor en la calle, lo que contribuye a la industria del «delito cibernético como servicio».

Empleados que utilizan dispositivos personales para trabajar.

Cada vez más, las personas con información privilegiada —a menudo de forma involuntaria— exponen a sus empleadores a amenazas al trabajar con dispositivos electrónicos. Nuestro equipo y otros han descubierto que los grupos de seguridad de las empresas no pueden hacer frente a los peligros que plantea la explosión de estos dispositivos. Según un reciente Alcatel-Lucent informe, alrededor de 11,6 millones de dispositivos móviles en todo el mundo están infectados en cualquier momento, y las infecciones de malware móvil aumentaron un 20% en 2013.

No son solo los teléfonos inteligentes y las tabletas los que tienen la culpa: los dispositivos pueden ser tan simples como memorias USB o tarjetas de memoria de teléfonos. «La mejor manera de entrar en una empresa que no está preparada es rociar memorias USB infectadas con el logotipo de la empresa alrededor del aparcamiento», dice Michael Goldsmith, miembro de nuestro equipo y director asociado del Centro de Seguridad Cibernética de Oxford, en referencia al ataque de 2012 contra DSM, una empresa química holandesa. «Algún empleado va a probar uno de ellos».

Se informó ampliamente de que los delegados que asistieron a una cumbre del G20 cerca de San Petersburgo en 2013 recibieron dispositivos de almacenamiento USB y cargadores de teléfonos móviles cargados de malware diseñados para ayudar a robar información. Y el gusano informático Stuxnet que saboteó la planta de refinación de uranio de Irán en 2008-2010 fue según se informa introducido a través de unidades flash USB en sistemas no conectados a Internet.

En verdad, todos somos vulnerables.

La explosión en las redes sociales.

Las redes sociales permiten que se filtre todo tipo de información de una empresa y se extienda por todo el mundo, a menudo sin el conocimiento de la empresa. También ofrecen oportunidades para contratar personas con información privilegiada y usarlas para acceder a activos corporativos. La llamada estafa romántica, en la que un estafador sofisticado que se hace pasar por pretendiente en un sitio web de citas convence o engaña a un empleado para que comparta datos confidenciales. Otras estrategias incluyen el uso de los conocimientos adquiridos a través de las redes sociales para presionar a los empleados: Un ciberchantajista puede amenazar con eliminar archivos informáticos o instalar imágenes pornográficas en el ordenador de la oficina de la víctima a menos que se entregue la información confidencial.

Por qué lo hacen

Varios estudios de casos públicos y privados han establecido que las personas que participan deliberadamente en ciberataques tienen una amplia gama de motivaciones: ganancias financieras, venganza, deseo de reconocimiento y poder, respuesta al chantaje, lealtad a otros miembros de la organización y creencias políticas.

Un ejemplo del que escuchamos durante nuestra investigación fue un ataque en 2014 de un pretendiente rechazado contra una pequeña pero en crecimiento empresa de formación virtual. Un gerente se había quejado a su superior sobre la persona en cuestión, un administrador de sistemas que le había estado enviando flores en el trabajo y mensajes de texto inapropiados y que continuamente había pasado por su casa. Una vez rechazado claramente, el atacante corrompió la base de datos de vídeos de formación de la empresa y dejó inaccesibles las copias de seguridad. La compañía lo despidió. Pero sabiendo que carecía de pruebas de su culpabilidad, lo chantajeó por varios miles de euros amenazando con dar a conocer su falta de seguridad, lo que podría haber dañado una próxima salida a IPO. Este costoso incidente, como la mayoría de los otros delitos internos, no se denunció.

Gerentes en la oscuridad

Preguntamos a 80 altos directivos sobre su conocimiento de las amenazas internas a la ciberseguridad y realizamos un seguimiento con estudios de casos detallados de incidentes reales. He aquí un resumen de lo que hemos encontrado:

  • Los gerentes de todos los países y de la mayoría de las industrias (los bancos y las empresas energéticas son la excepción) ignoran en gran medida las amenazas internas.
  • Tienden a considerar la seguridad como el trabajo de otra persona, normalmente del departamento de IT.
  • Pocos directivos reconocen la importancia de observar comportamientos inusuales de los empleados, como visitar sitios web extremistas o empezar a trabajar en momentos extraños del día, para obtener una advertencia anticipada de un ataque.
  • A casi dos tercios de los profesionales de seguridad interna y externa les resulta difícil persuadir a los consejos de administración de los riesgos que conlleva descuidar el problema de las amenazas internas.
  • Pocos grupos de IT reciben orientación sobre qué activos de información son los más críticos, qué nivel de riesgo es aceptable o cuánto se debe invertir para evitar ataques.

La colaboración interna con grupos activistas y del crimen organizado se está volviendo cada vez más común. En la actualidad, muchos países están operando equipos de preparación para emergencias informáticas (CERT) para protegerse contra este y otros tipos de ataques. De los 150 casos analizados por el Centro de Amenazas Insider del CERT de la Universidad Carnegie Mellon para su 2012 informe Bajo la lupa: Insiders malintencionados y actividad del crimen organizado, El 16% tenía vínculos con el crimen organizado.

Un caso fue el robo en 2012 por una banda rusa de detalles de 3,8 millones de cuentas bancarias sin cifrar y casi 4 millones de declaraciones de impuestos del Departamento de Hacienda de Carolina del Sur. Los análisis forenses demostraron que el ataque fue facilitado por un empleado que hizo clic en un enlace de un correo electrónico, lo que permitió a la banda robar las credenciales del empleado y acceder a los servidores de datos del estado.

Monica Whitty, psicóloga de la Universidad de Leicester y miembro de nuestro equipo, y muchos otros dicen que los expertos que voluntariamente ayudan o participan en ciberataques sufren una o más condiciones en la «tríada oscura»: el maquiavelismo, el narcisismo y la psicopatía. Apoyando este punto de vista, un 2013 estudio por CPNI descubrió que los atacantes internos suelen tener alguna combinación de estos rasgos de personalidad: inmadurez, baja autoestima, amoralidad o falta de ética, superficialidad, tendencia a fantasear, inquietud e impulsividad, falta de escrupulosidad, manipulación e inestabilidad.

Roger Duronio, administrador de sistemas de UBS Wealth Management condenado por utilizar una «bomba lógica» maliciosa para dañar la red informática de la empresa en 2006, mostró varias de estas características. Duronio estaba preocupado por la seguridad de su trabajo y se puso lívido cuando recibió solo 32.000 dólares del bono de 50.000 dólares que había esperado. Así que cortó las acciones de la compañía y hizo estallar la bomba. Derribó hasta 2.000 servidores en las oficinas de UBS en los Estados Unidos; algunos de ellos no pudieron realizar operaciones durante varias semanas. La compañía sufrió 3,1 millones de dólares en costos directos y millones de dólares más en pérdidas incidentales no reveladas. Duronio fue condenado a 97 meses de prisión por el delito.

Cómo pensar en el problema

La gestión de las amenazas de ciberseguridad internas es similar a la gestión de la calidad y la seguridad. Todos fueron responsabilidad de un departamento especializado. Pero las organizaciones ya no pueden anticipar todos los riesgos, porque el entorno tecnológico es muy complejo y cambia constantemente. Por lo tanto, los líderes de las empresas grandes y pequeñas necesitan que todos los miembros de la organización participen. Aquí hay cinco pasos que deben tomar de inmediato:

Adopte una política de información privilegiada sólida.

Esto debería abordar lo que las personas deben hacer o no hacer para disuadir a los internos que introducen riesgos por descuido, negligencia o errores. La política debe ser concisa y fácil para todos, no solo para los especialistas en seguridad y tecnología, de entender, acceder a ella y adherirse a ella. Las reglas deben aplicarse a todos los niveles de la organización, incluida la alta dirección. Un marco proporcionada por el Estado de Illinois es un modelo. Aquí tienes un enlace.

Los empleados deben recibir herramientas que les ayuden a cumplir con la política. Por ejemplo, los sistemas pueden diseñarse para mostrar un mensaje de advertencia en la pantalla cuando alguien intenta iniciar sesión en un subsistema que contiene materiales sensibles. El sistema podría preguntar si la persona está autorizada a estar allí y registrar y rastrear a quienes no lo están.

Las infracciones de las políticas deben incurrir en sanciones. Obviamente, un empleado que comete un delito grave, como vender los datos personales de los clientes o insertar malware a sabiendas en los sistemas de la empresa, debe ser despedido y procesado. Una primera infracción por algo menos grave, como compartir contraseñas para permitir que colegas de confianza accedan a los sistemas corporativos, podría dar lugar a una advertencia que se incluye en el historial del empleado.

También debes ayudar a los empleados a entender cómo llevar a cabo las tareas diarias de forma segura. La política debe reforzarse periódicamente con sesiones informativas y campañas de comunicación interna, que pueden incluir carteles en el lugar de trabajo. Algunas empresas proyectan vídeos que demuestran cómo las infracciones de políticas pueden provocar ciberataques y cómo las prácticas más seguras podrían haberlos evitado.

Aumentar la conciencia.

Sea abierto a las posibles amenazas para que las personas puedan detectarlas y estar en guardia contra cualquier persona que intente obtener su ayuda en un ataque. Personalice la formación para tener en cuenta los tipos de ataques que pueden sufrir los trabajadores en una operación concreta. El phishing es una forma común de obtener acceso: los correos electrónicos falsos engañan a los empleados para que compartan datos personales o códigos de acceso o hagan clic en un enlace que descarga malware. (Muchas personas no se dan cuenta de que la dirección «de» de un correo electrónico es fácil de falsificar). Es posible probar la vulnerabilidad de su personal a tales ataques, ya sea por su cuenta o empleando un servicio de seguridad externo.

¿Qué puedes hacer?

Algunas de las actividades más importantes que los líderes no tecnológicos deben realizar a sus departamentos de IT son:

  • supervisar todo el tráfico que sale de las redes empresariales a través de Internet o de medios portátiles e informar rápidamente de cualquier cosa inusual o que infrinja la política
  • mantenerse al día con las mejores prácticas para respaldar la estrategia y la política de ciberseguridad
  • implementar rigurosamente procedimientos y protocolos de defensa de redes que tengan en cuenta las prioridades operativas del negocio
  • actualizar activamente las cuentas de usuario para garantizar que los empleados nunca tengan más acceso a sistemas informáticos sensibles del que es absolutamente necesario
  • realizar evaluaciones frecuentes de amenazas e informar al liderazgo de la empresa sobre ellas

Aun así, puede ser difícil defender a los insiders de un forastero decidido. En abril de 2013, una multinacional francesa fue objeto de un ataque inteligente. Un asistente administrativo de un vicepresidente recibió un correo electrónico que hacía referencia a una factura en un servicio de intercambio de archivos basado en la nube. Tuvo el sentido de no abrir el archivo, pero minutos después recibió una llamada telefónica de alguien que convincentemente afirmó ser otra vicepresidenta de la empresa y le instruyó para descargar y procesar la factura. Ella cumplió. La factura contenía un troyano de acceso remoto que permitía a una empresa delictiva aparentemente radicada en Ucrania tomar el control de su PC, registrar sus pulsaciones de teclas y robar la propiedad intelectual de la empresa.

Aliente a los empleados a denunciar tecnologías inusuales o prohibidas (por ejemplo, un disco duro portátil en una oficina donde los empleados normalmente acceden a datos y software a través de la red) y comportamientos (un empleado o proveedor no autorizado que solicita archivos de datos confidenciales), del mismo modo que informarían sobre el equipaje desatendido en una sala de salidas del aeropuerto.

Busca amenazas al contratar.

Es más importante que nunca utilizar procesos de selección y técnicas de entrevista diseñadas para evaluar la honestidad de los posibles empleados. Los ejemplos incluyen la verificación de antecedentes penales, la búsqueda de tergiversaciones en los currículos y las preguntas de entrevista que sondean directamente la brújula moral de un candidato. Nuestro equipo está desarrollando pruebas que permitirán a los empleadores determinar si los posibles empleados tienen rasgos de personalidad peligrosos como los identificados por la CPNI.

Durante el proceso de entrevista, también debe evaluar la concienciación sobre seguridad cibernética. ¿Sabe el candidato qué es una amenaza interna? ¿Cuándo podría compartir contraseñas con un miembro del equipo? ¿En qué circunstancias podría permitir que los miembros del equipo usen su ordenador como él mismo? Si los candidatos son fuertes en todas las demás formas, puedes seguir adelante y contratarlos, pero asegúrate de que estén capacitados inmediatamente en las políticas y prácticas de tu organización. Sin embargo, si alguien está siendo considerado para un trabajo en un entorno altamente sensible, debe pensar detenidamente en incorporarlo a bordo.

Emplear procesos de subcontratación rigurosos.

Como demuestra la infracción de Target, debes asegurarte de que tus proveedores o distribuidores no te pongan en riesgo, por ejemplo, minimizando la probabilidad de que alguien de un proveedor de IT externo cree una puerta trasera a tus sistemas. Si el riesgo de fracaso o incumplimiento de un proveedor es mucho menor que el suyo, es posible que no adopte los controles que necesita. Busque socios y proveedores que tengan el mismo apetito por el riesgo y la misma cultura que su organización, lo que hará que sea mucho más probable que se adopte un enfoque común de la ciberseguridad.

Pregunte a los posibles proveedores durante las conversaciones precontractuales sobre cómo gestionan los riesgos relacionados con la información privilegiada. Si los contratas, auditarlos periódicamente para comprobar que sus prácticas se mantienen realmente. Aclara que realizarás auditorías y estipule lo que implicarán. Una empresa podría exigir a los proveedores los mismos controles que utiliza ella misma: examinar los antecedentes penales de los empleados, verificar la veracidad de los historiales laborales de los candidatos a puestos de trabajo, supervisar el acceso a sus datos y aplicaciones para detectar actividades no autorizadas y evitar que intrusos entren en instalaciones físicas sensibles.

Supervisa a los empleados.

Hágales saber que puede y observará su ciberactividad en la medida en que lo permita la ley. No puede permitirse dejar la ciberseguridad exclusivamente en manos de los expertos; debe concienciar su propio día a día de lo que sale de sus sistemas y de lo que está entrando. Esto significa exigir a los equipos de seguridad o a los proveedores de servicios que realicen evaluaciones periódicas de riesgos, que deben incluir las fuentes de las amenazas, los empleados y las redes vulnerables, y las posibles consecuencias si un riesgo se hace realidad. También debe medir los comportamientos de mitigación de riesgos, como los tiempos de respuesta a las alertas.

A menudo, los routers o firewalls pueden supervisar los canales salientes, pero debes asegurarte de que la funcionalidad esté activada. Si no tienes el equipo para monitorear el tráfico saliente, cómpralo. También debe registrar y supervisar otros medios de filtración (unidades flash USB y otros medios de almacenamiento portátiles, copias impresas, etc.) mediante comprobaciones puntuales o incluso búsquedas permanentes en aeropuertos de personas que entran y salen de sus edificios. (General Electric y Wipro los usan en Bangalore).

«La mejor manera de entrar en una empresa que no está preparada es rociar memorias USB infectadas con el logotipo de la empresa alrededor del aparcamiento».

Para que la supervisión sea eficaz, debe administrar diligentemente los privilegios de todos los empleados, incluidos los que tienen los niveles más altos de acceso a los sistemas de la empresa, que a menudo son los instigadores de ataques internos. Repasa tu lista de usuarios más privilegiados con regularidad y luego observa a los que se quedan para verificar que merecen tu confianza. Busque sistemas de detección de amenazas internas que puedan predecir eventos posiblemente evitables, así como encontrar eventos que ya se han producido. El big data puede ser útil para vincular pistas y proporcionar advertencias.

El software de detección de malware puede ser útil. En particular, en las colaboraciones externas e internas, un paso inicial clave es introducir malware en la red. Cuando encuentre malware, tenga en cuenta que podría ser parte de un ataque interno; un análisis de cómo se utiliza el malware puede proporcionar pistas sobre la identidad y los objetivos más amplios del atacante.

La supervisión en este grado aumentará la carga de trabajo de todos, pero dará sus frutos al aumentar la resiliencia y reducir el riesgo para su empresa. La estrategia más eficaz para desactivar la ciberamenaza que plantean las personas con información privilegiada es utilizar las tecnologías de protección disponibles y corregir sus puntos débiles, pero centrarse en última instancia en lograr que todas las personas con información privilegiada se comporten de manera que se mantenga la seguridad de la empresa. La gente necesita saber qué comportamientos son aceptables o inaceptables. Recuérdeles que proteger a la organización también protege sus puestos de trabajo.

Escrito por David M. Upton David M. Upton Sadie Creese

Read more