La mayoría de empresas tienen problemas para identificar posibles ciberatacantes infiltrados entre sus trabajadores, según un nuevo estudio
- La mayoría de empresas ven imposible o muy difícil detectar un ciberataque en sus etapas tempranas cuando quien lo perpetra es un infiltrado.
- Este infiltrado o insider puede ser un trabajador descontento con la empresa o cómplice de una organización criminal que esté tratando de acceder desde fuera.
- Descubre más historias en Business Insider España.
Las ciberamenazas están ahí fuera y pueden impactar sobre una empresa de diversas maneras, en función del tipo de código malicioso que ejecute. Desde un ransomware que cifra y bloquea los dispositivos de una organización hasta un ataque DDoS que deja sus sistemas web inutilizados, las consecuencias pueden ser fatales, en especial para una pyme.
Muchos de estos agentes maliciosos afectan a compañías de todo tipo porque los ciberdelincuentes han sofisticado sus estrategias y apuntan al eslabón más débil en la cadena de la seguridad informática.
Este eslabón no es otro que un trabajador que no esté debidamente formado: un empleado sin las nociones básicas podrá pinchar en un enlace en el que no deba desplegando de forma no intencionada un ataque informático grave.
Pero en el mundo de la ciberdelincuencia también hay trabajadores que sí atacan a sus propias empresas de forma intencionada. Bien sea por descontentos laborales o profesionales, o bien sea porque el empleado en cuestión se ha visto seducido por una propuesta económica de alguna organización de criminales informáticos, este tipo de actores maliciosos existen.
El problema es que las empresas no son capaces de detectarlos.
Un nuevo estudio que acaba de ser publicado por la empresa de ciberseguridad DTEX System y que ha sido desarrollado por el Instituto Ponemon, una entidad de investigadores especializados en privacidad y seguridad, concluye que más de la mitad de las compañías no son capaces de detectar los riesgos y amenazas cuando estos pueden estar en sus propias plantillas.
En concreto, la mayoría de las compañías ven "imposible" o "muy difícil" la posibilidad de detectar y prevenir esas amenazas. Ponemon ha elaborado esta investigación tras realizar encuestas a cerca de 1.250 especialistas de Sistemas Informáticos de EEUU, Canadá, Europa occidental y Australia y Nueva Zelanda.
Los pasos de un ataque infiltrado
El informe también propone la "cadena" de amenazas internas, en las que los especialistas del Ponemon determinan cuáles son los pasos más habituales en los que los expertos en ciberseguridad se tienen que detener para comprobar si hay indicios en los sistemas de su empresa de que un empleado o un colaborador esté preparando un ataque.
Estos pasos son el reconocimiento,la elusión, la agregación, la ofuscación, y la exfiltración o robo de datos en sí misma. El primer paso, el reconocimiento, permite a los trabajadores comprobar dónde la empresa almacena su información sensible, y en el caso de que hayan accedido a credenciales comprometidas, ver lo lejos que pueden llegar con esas contraseñas.
El siguiente paso, la elusión, es la investigación que los criminales que estén infiltrados en una organización realizará para comprobar cuáles son los "caminos más seguros" a través de los sistemas de la empresa hasta alcanzar su botín, mientras que el tercer paso, la agregación, es el proceso por el cual los actores maliciosos comienzan a reunir su botín.
Cerca de la mitad de las compañías ven "imposible" o "muy difícil" prevenir el ciberataque de un insider (como se conoce en el ámbito de la ciberseguridad a aquellas amenazas internas) en estos primeros pasos de un ataque desde dentro. El 53% de las firmas ven también "imposible o muy difícil" detectar que un insider esté preparando un ataque en la fase de agregación de datos.
Los últimos dos pasos son la ofuscación (el proceso por el cual los ciberdelincuentes infiltrados limpian sus rastros) y la exfiltración en sí de datos, cuando el botín ya se ha robado o copiado y es prácticamente imposible detectar de dónde, quién o cómo se ha extraído.
No es extraño que en muchos ciberataques con ransomware, por ejemplo, muchos trabajadores descontentos con sus jefes sean cómplices y protagonistas de estos robos. El informe en cuestión, que puedes consultar aquí, destaca cómo el 32% de las empresas aseguran ser "muy efectivas" previniendo amenazas que puedan suponer la filtración de información sensible.
De la misma manera, y en función de lo que han respondido los 1.249 encuestados, el 15% de las empresas que han participado en el informe sí reconocen que nadie en plantilla es el responsable de hacer comprobaciones habituales de los empleados, a fin de detectar posibles indicios de que haya una amenaza infiltrada.
"A menudo, las empresas no son conscientes de que han sufrido un ciberataque hasta que se da el quinto paso de la cadena de amenazas internas, la exfiltración de datos", concluye el estudio.
"Si las empresas mejoran su seguridad, cierran las brechas que se han identificado en este documento y se implementan las medidas oportunas para monitorizar, se nombra a una figura de autoridad que mitigue estos riesgos y se hacen esfuerzos conscientes para reducir estas amenazas, muchos de estos ataques podrán ser detectados durante etapas más tempranas", zanja.
Para ello, la clave debe ser "una aproximación humana", ya que "los elementos humanos juegan un papel clave". "Esto supone mejorar las capacidades humanas a la hora de monitorizar comportamientos", ya que uno de los vectores de mayor riesgo en el ámbito de la ciberseguridad es precisamente las actividades rutinarias y diarias de un trabajador.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.