'Insiders', el gran enemigo de la ciberseguridad está de puertas adentro

Pero no todo es extraer información. Otros programas simplemente buscan bloquear el uso de las aplicaciones de software de una organización a cambio del pago de un rescate, lo que supone un alto coste para las compañías. Así, las empresas se preparan cada vez más para prevenir y responder a los ciberataques en la era de la inteligencia artificial (IA), que está ayudando a aumentar la protección de los sistemas, pero también sirve como herramienta para los 'hackers'.

Y, entre todas las posibilidades que exploran las ciberdelincuentes para acceder a los datos, la forma más habitual es a través de las llamadas amenazas internas. Son aquellas que tienen su origen en usuarios autorizados a acceder a la información de la empresa. Estos usuarios pueden ser empleados, contratistas o socios comerciales (conocidos como 'insiders') que, de forma intencionada o accidental, pueden dar acceso a un 'hacker' a la información de la organización.

El problema no es percisamente menor ni secundario. Según expica Andrés de Benito, responsable de ciberseguridad de Capgemini, más del 80% de los ataques que sufren las empresas son a través de amenazas internas. Una amenaza definida que exige estrategias particulares, y en las que la inteligencia artificial se convierte en una herramienta cada vez más utilizada por las organizaciones. Estas novedosas herramientas se pueden utilizar para ver cuándo se está produciendo un comportamiento inusual por parte de un usuario autorizado, lo que ayuda a identificar en qué momento la organización puede ser objeto de una amenaza interna, explica el responsable de Seguriad de Capgemini.

En muchas ocasiones estos ataques se producen de forma involuntaria, ya que, por ejemplo, es muy habitual que el 'insider' pueda cometer el error de hacer 'click' en un 'link' enviado por un ciberdelincuente. «En el caso de que el 'insider' sea involuntario, los ataques a través de adjuntos en correos o enlaces maliciosos que explotan una vulnerabilidad o simulan ser una página legítima son comunes para obtener información del empleado que culmine en un acceso a la red», refrenda Sergio de los Santos, director del Área de Innovación y Laboratorio en Telefónica Tech.

«Es cierto que los problemas que puede generar un 'insider' suelen provenir de no tener cuidado con los aspectos más básicos de la seguridad», dice Miguel Ángel Thomas, responsable de ciberseguridad en NTT Data.

No obstante, también existen los casos en que actúan en connivencia con los criminales. «Es común que los 'insiders' actúen por mala fe, pero también suele ocurrir que los usuarios sean sobornados o extorsionados por terceros, que encuentran en ellos una fórmula para entrar en las redes o sistemas de la víctima sin necesidad de realizar un ataque externo», dice de los Santos. «Los atacantes pueden conseguir que un empleado se convierta en un 'insider' de varias formas, pero siempre teniendo en cuenta que un 'insider' no 'comete un error', sino que busca beneficiarse de algún modo o hacer daño», añade el director del Área de Innovación y Laboratorio en Telefónica Tech.

Las amenazas internas originadas por empleados descontentos son más comunes de lo que muchas empresas podrían esperar, asegura también Luis Corrons, security evangelist en Avast. Según explica el experto, estos casos a menudo surgen de situaciones donde el empleado siente que ha sido tratado de manera injusta o no se siente lo sufucientemente valorado. «Estos sentimientos pueden llevar a acciones malintencionadas como el robo de datos, sabotaje o incluso espionaje corporativo», asegura el portavoz de Avast.

Desde Kaspersky, su lead security researcher, Marc Rivero, explica que el principal desafío que enfrentan las empresas a la hora de protegerse de estas amenazas internas es la dificultad a la hora de identificar a los atacantes, ya que son personas que tienen acceso autorizado a los sistemas y datos de la organización. «En los últimos dos años, el 11% de las empresas españolas sufrieron incidentes cibernéticos intencionados por parte del personal para su propio beneficio», dice Rivero.

«Las organizaciones pueden protegerse de estas amenazas implementando medidas de seguridad en profundidad y por capas, además de estrictas políticas internas. Algunas medidas incluyen la detección temprana de posibles 'insiders' de alto riesgo a través de la colaboración entre el área de seguridad corporativa y recursos humanos. Es importante centrarse más en el riesgo que en la motivación y contar con sistemas de protección, prevención y detección bien configurado», dice de los Santos, de Telefónica Tech.

Agustín Muñoz-Grandes, managing director Accenture security lead en España y Portugal, explica que la IA generativa se puede utilizar para perpetrar ataques como para detectarlos y protegernos de los mismos. Sin embargo, cree que habrá más inversión y beneficios del lado de los que trabajan para proteger a las personas y a las empresas que del lado de los que buscan delinquir aprovechando las posibilidades de la tecnología, que del lado de los ciberdelincuentes.

Miguel Ángel Thomas, de NTT Data, indica que en la seguridad digital el factor humano esencial. Para ello, es fundamental establecer políticas claras y programas de capacitación que permitan mitigar estas amenazas. El experto considera que, para incrementar la ciberseguridad es importante la formación de los empleados, reforzar los métodos de acceso a las organizaciones y monitorear que todo va bien. «Existen actualmente sistemas que son capaces de decidir si el tipo acceso y acciones que está haciendo una persona son coherentes con lo que se espera de ella y tomar decisiones en caso de tener sospechas de que sea un intruso o un 'malware'», asegura este experto.

En ese sentido, De Benito, de Capgemini, considera que, además de aprovechar la capacidad de la inteligencia para jugar un papel fundamental en la identificación de patrones de comportamiento inusuales, también es necesario en este proceso contar con una persona que decida si actuar o no ante una potencial amenaza. De Benito subraya que en los casos en los que no hay duda de que hay 'malware' en el sistema, la IA puede actuar, pero en muchas otras ocasiones es necesaria una capa humana que sea alertada por la tecnología de un potencial riesgo. Una vez avisado, un profesional debe decidir si se trata de una amenaza o no y actuar en consecuencia.

«En cuanto a las amenazas internas, la IA puede utilizarse para automatizar tareas, recopilación de información y ejecución de ciberincidentes. Esto hace que sean más rápidos y eficaces», dice Rivero, de Kaspersky. «La IA puede utilizarse para analizar el comportamiento de los empleados y detectar patrones sospechosos, que pueden indicar un incidente interno. También para identificar vulnerabilidades en los sistemas y aplicaciones que pueden ser explotadas por los propios trabajadores», añade sobre los diferentes servicios que está prestando esta tecnología para incrementar la ciberseguridad de las organizaciones. Un partido muy complejo cuyo desenlace se juega muchas veces de puertas adentro.