Amazon y Twitter han sufrido importantes brechas de seguridad de sus propios empleados: las amenazas internas son el próximo gran problema con el que deberán lidiar las empresas
- La semana pasada, Amazon tuvo problemas para abordar un incidente en el que los empleados revelaron datos de clientes a un tercero.
- El gran ataque que sufrió Twitter también se atribuyó a la falta de seguridad de un trabajador, y Shopify también tuvo su propio caso recientemente.
- Estas situaciones revelan cómo las amenazas internas son un desafío creciente para la seguridad de las empresas, sobre todo a partir del impulso al teletrabajo por el coronavirus.
- Descubre más historias en Business Insider España.
Amazon se vio envuelto en un incidente espinoso la pasada semana tras descubrirse que algunos de sus empleados filtraban direcciones de correo electrónico de clientes a terceros que buscaban acceso a datos.
Al igual que el hackeo de Twitter del pasado verano, que conllevó la apropiación de las cuentas con mayor número de seguidores del mundo para lanzar una estafa de criptomonedas, el episodio de Amazon depende de un factor importante: la participación de los empleados.
Muchas empresas se han enfrentado a problemas de ciberseguridad que involucran a los empleados, los cuales se describen en términos generales como "amenazas internas". El mes pasado, dos empleados de Shopify intentaron robar registros de transacciones de los comerciantes y es posible que hayan expuesto datos de clientes, explicó la propia plataforma de pago online.
Las amenazas internas se han disparado durante la pandemia de COVID-19, desafiando no solo a los equipos de ciberseguridad de las empresas, sino también al departamento legal, al de recursos humanos y al de comunicación, ya que el trabajo remoto crea lo que la firma de análisis Forrestercalifica como "condiciones ideales para amenazas internas". De hecho, Forrester asegura que esta nueva modalidad de empleo estará detrás de un tercio de todos los incidentes de seguridad en 2021.
Para complicar aún más las cosas, las amenazas internas incluyen una amplia gama de incidentes —desde delitos como el espionaje corporativo y el robo de datos hasta errores bien intencionados, como el uso de correo electrónico personal para el trabajo y de aplicaciones laborales no autorizadas—.
Los expertos aseguran que las amenazas internas requieren un examen exhaustivo de la intención de los empleados, ya que una respuesta punitiva puede impactar en el estado de ánimo y la moral. Sin embargo, como revelan los incidentes de Amazon y Twitter, el tiempo corre mientras los clientes y el público general exigen una acción decisiva.
A medida que las amenazas de ciberseguridad externas se vuelven más complejas, los desafíos internos de las empresas presentan un segundo frente que exige tomar acciones.
Las amenazas internas pueden tomar muchas formas
Jeff Pollard, analista principal de Forrester, afirma que las amenazas internas pueden tener lugar en "todo tipo de escenarios", especialmente en la era del teletrabajo impulsado por la pandemia. Esos escenarios afectan a millones de trabajadores remotos, asegura.
"Tu pareja también está trabajando ahora desde casa y tú estás teniendo conversaciones en voz alta que ellos escuchan", dice Pollard. "Por casualidad dices algo a tu pareja, que ellos te escucharon decir, sin darte cuenta de que era información confidencial. Esa es una amenaza interna".
También lo es llevarte accidentalmente información de tu último trabajo a tu nuevo entorno laboral a través del portátil personal que has utilizado en ambos trabajos. Al igual que la mensajería directa con un empleado que te informa sobre cuestiones confidenciales relacionadas con la gestión. Y, por supuesto, prestar tu ordenador del trabajo a un compañero de piso.
Las amenazas internas no son un problema de ciberseguridad: son un espectro de problemas y se multiplican a medida que los empleados trabajan desde casa.
Estos desafíos adoptan tantas formas diferentes que Microsoft las clasifica por amplitud, sofisticación e intención.
"Estos problemas se presentan en una amplia variedad", explica Talhah Mir, manager principal de seguridad digital e ingeniería de riesgos en el gigante del software. "Hay que considerarlos en su contexto".
Mir ha trabajado con empresas que descubrieron que sus empleados buscaban los registros médicos de sus vecinos "por alguna razón", dice. Encontró empleados aprobando préstamos a miembros de su familia y conspirando con compañeros de trabajo para iniciar una empresa rival mientras descargaban datos clasificados.
Mir se esfuerza en señalar que también se ha encontrado con muchos empleados cuyos motivos eran loables. A veces, los trabajadores traen programas informáticos a una nueva empresa porque creen que pueden ser más productivos con las herramientas habituales. Pero esa aplicación web u hoja de cálculo no es propiedad de la nueva empresa y podría causar problemas legales o incluso técnicos.
El incidente de Amazon es "especialmente preocupante"
El incidente concreto de Amazon implica la filtración de direcciones de correo electrónico de clientes por parte de un empleado.
"Su dirección de correo electrónico fue revelada por un empleado de Amazon a un tercero", escribió la compañía a algunos usuarios vía email, añadiendo que "no se compartió ninguna otra información relacionada con su cuenta". Pero en otros correos electrónicos, la empresa afirmó que los números de teléfono también pudieron haberse filtrado, lo que ahora dicen que fue un error causado por el uso de una plantilla de envío.
Ese no fue el único tropiezo de Amazon.
El gigante del comercio electrónico dijo en algunos correos electrónicos que un empleado estaba involucrado, mientras que en un comunicado puntualizó que "individuos —en plural— responsables de este incidente han sido despedidos". La compañía explicó que lo que hizo fue comentar de manera individual a los clientes que un empleado filtró su información específica, en lugar de hablar sobre el incidente en general.
Amazon afirmó en un comunicado: "Lo hemos remitido a la ley y estamos apoyando su procesamiento penal". La compañía reveló que tiene sistemas informáticos para limitar y controlar el acceso a la información y procesos para identificar e investigar comportamientos sospechosos. Esos sistemas, dijo, actuaron según lo diseñado y notificaron a la compañía los comportamientos dudosos.
Pero la gestión del incidente por parte de Amazon ha sido ampliamente criticada en Twitter, así como por expertos en privacidad.
"Descubrir que un empleado de Amazon ha estado pasando correos electrónicos de clientes a un tercero es particularmente preocupante, especialmente porque Amazon parece haber sido muy vago en los detalles", afirma Jo O'Reilly, experta en privacidad digital de ProPrivacy, empresa centrada en calificar los productos y las compañías en relación a su gestión de los datos del consumidor.
Detectar amenazas internas puede ser complicado
La naturaleza nebulosa de las amenazas internas las hace difíciles de detectar y aún más difíciles de abordar.
Microsoft ha superado esa brecha con un programa en el conjunto de aplicaciones empresarialesMicrosoft 365 que utiliza el aprendizaje automático para detectar comportamientos anómalos y potencialmente peligrosos por parte de los empleados. El programa señala los comportamientos al equipo de TI de una empresa si un empleado está descargando datos que no debería o si se conecta de forma online en medio de la noche y accede a archivos confidenciales.
La forma en que el equipo de TI responde a esa información a menudo se incluye en la categoría de recursos humanos.
"El departamento de recursos humanos es un aspecto importante de esto", comenta Mir.
El experto insta a las empresas a asumir la buena fe y a practicar la "empatía digital", buscando comprender el comportamiento de los empleados antes de sacar conclusiones. "De lo contrario, puede tener un efecto devastador en la moral de los empleados".
Sin embargo, algunos casos son más claros y requieren el largo brazo de la ley en lugar de la compasión humana.
Darktrace, una empresa de ciberseguridad de Reino Unido que utiliza el aprendizaje automático para detectar cualquier anomalía en la red de una empresa, descubrió en una ocasión que un conserje de una agencia de las Fuerzas de Seguridad de EEUU estaba tratando de acceder a datos confidenciales fuera de su horario. El conserje resultó ser un criminal que consiguió el trabajo para poder robar información sobre el paradero de informantes en el programa de protección de testigos, revela Max Heinemeyer, analista de Darktrace.
Heinemeyer afirma que, según su experiencia, "algunas amenazas internas son muy, muy interesantes".
Este artículo fue publicado originalmente en BI Prime.
Otros artículos interesantes:
Conoce cómo trabajamos en Business Insider.