Lecciones aprendidas de diez de las ciberamenazas internas más sonadas
La exposición de las organizaciones al riesgo de sufrir un ciberataque ha aumentado drásticamente debido a los nuevos modelos de trabajo que han llevado a los profesionales a conectarse y acceder a datos y sistemas desde cualquier parte.
Según datos de la empresa de ciberseguridad y cumplimiento Proofpoint, el 58% de los CISOs cree que los empleados entienden su papel a la hora de proteger la empresa frente a ciberamenazas, pero aun así son hoy su mayor vulnerabilidad.
A las amenazas que vienen de fuera se suman otras internas que no siempre son malintencionadas. "Muchas se deben a la negligencia de usuarios que accidentalmente filtran información sensible y confidencial, o bien estos son víctimas de un ataque de malware que infecta y toma el control de sus dispositivos", señala Fernando Anaya, country manager de Proofpoint. “La mayoría de organizaciones dedican más tiempo y recursos a mitigar las amenazas externas, por lo que apenas invierten en conocer y combatir unos incidentes internos que van en aumento”.
En Forrester prevén que en este año un tercio de todos los ciberataques sea de carácter interno, con sus particularidades únicas que requieren un enfoque distinto caso a caso. Desde Proofpoint afirman que saber el quién, qué, cómo, cuándo y por qué ayuda a las organizaciones a avanzar hacia un enfoque de la ciberseguridad centrado en las personas, algo clave para entender cómo los empleados manejan los datos o la información privilegiada a la que tienen acceso.
Como muestra, la compañía de ciberseguridad ha recopilado diez de las amenazas internas más sonadas entre 2020 y 2021, analizando qué ocurrió, quién estaba detrás del ataque y sus intenciones, el coste para la organización afectada y las lecciones que se han aprendido de ello, como la necesidad de contar con soluciones cloud de gestión de amenazas internas y de prevención de pérdida de datos para detectar riesgos, acelerar la respuesta, así como dar visibilidad de la actividad del usuario, su interacción con esos datos y el contexto de la amenaza.
Microsoft: Perder la confianza de usuarios por un error de configuración
¿Qué pasó?
Más de 250 millones de registros de clientes quedaron expuestos durante 14 años por haber sido almacenados en servidores no seguros.
¿Qué se puede aprender?
Si bien errar es humano, un fallo de esta magnitud pone en tela de juicio las prácticas de seguridad y privacidad de grandes organizaciones, además de ocasionar pérdidas económicas y daños de reputación. Mitigar una posible fuga de datos requiere una solución que detecte errores de configuración de forma temprana y contenga un plan rápido de actuación.
ConocoPhillips: Malversación entre “amigos” internos y externos
¿Qué pasó?
Un empleado engañó al gigante petrolero con facturas falsas consiguiendo que pagaran más de tres millones de dólares a la empresa de un amigo suyo. Los daños causados superaron los siete millones.
¿Qué se puede aprender?
Una plataforma de gestión de amenazas internas y la monitorización de empleados de riesgo pueden ayudar a detectar peticiones fraudulentas antes de que sea demasiado tarde. También hay que tener en cuenta que en la mayoría de los ataques internos maliciosos están involucradas personas externas.
Postbank: Uso malicioso de cifrados
¿Qué pasó?
En Sudáfrica este banco sufrió un importante fallo de seguridad cuando varios empleados copiaron la clave principal de cifrado. Sustituir las tarjetas bancarias costó unos 58 millones de dólares.
¿Qué se puede aprender?
Hacer una buena gestión de amenazas internas implica la formación de los usuarios. Otros elementos a tener en cuenta en la detección y resolución de estas amenazas son el tiempo y el hecho de que los empleados pueden actuar en grupo para ejecutar un fraude a mayor escala.
Ejército de EEUU: Filtración accidental de información
¿Qué pasó?
Unos soldados estuvieron filtrando por accidente información confidencial sobre armas nucleares durante ocho años al utilizar una aplicación poco segura para memorizar protocolos de seguridad.
¿Qué se puede aprender?
Incluso personas sin malas intenciones pueden poner en peligro la seguridad de una organización o, como en este caso, de toda una nación. Por eso, todos los usuarios deben estar concienciados sobre ciberseguridad, en especial los que tienen acceso a informaciones más sensibles.
Twitter: Coacción a empleados para que faciliten credenciales
¿Qué pasó?
Una red de ciberdelincuentes encabezada por un adolescente de Florida consiguió las credenciales de herramientas administrativas de esta red social para hacerse con el control de cuentas verificadas y poner en marcha una estafa con bitcoins.
¿Qué se puede aprender?
Este ataque empañó la reputación de la plataforma. Una de las razones por las que resultó tan fácil a los estafadores infiltrarse y convencer a un empleado con privilegios de acceso pudo ser una política de seguridad de teletrabajo insuficiente. Para evitar estos incidentes, conviene otorgar accesos a un menor nivel entre empleados y supervisar cuidadosamente a usuarios de alto riesgo.
Empresa de aguas de Ellssworth en EEUU: Ataque intencionado contra redes y sistemas
¿Qué pasó?
Hasta 25 años podría pasar en prisión un antiguo empleado por manipular de forma remota los procesos de limpieza y desinfección de esta compañía de servicios. Con ello, puso en riesgo la seguridad del suministro a 1.500 clientes minoristas y a otros diez mayoristas del Estado de Kansas.
¿Qué se puede aprender?
Las organizaciones necesitan implementar procesos eficaces que impidan a exempleados acceder a la red de la organización, garantizando que solo entran usuarios autorizados y aumentando la seguridad de contraseñas. Mediante un programa de gestión de amenazas internas que supervise el movimiento de datos, se puede detectar antes y con más precisión cualquier actividad maliciosa.
Le Figaro: Convertirse en noticia por la escasa seguridad de un proveedor
¿Qué pasó?
La filtración accidental de 7.400 millones de archivos de este periódico francés se debió a la falta de una ciberhigiene adecuada de su empresa de alojamiento de datos.
¿Qué se puede aprender?
Cualquier proveedor necesita pasar evaluaciones de riesgo estrictas antes de custodiar información sobre usuarios. Los ataques pueden pasar de un simple robo de datos a otros más complejos con los sistemas internos como objetivo. Es fundamental asegurarse de la correcta configuración de bases de datos, además de contar con sistemas de supervisión y detección temprana de filtraciones.
Morrisons: Abuso de privilegios de acceso
¿Qué pasó?
Un auditor interno de estos supermercados de Reino Unido filtró datos de las nóminas de casi 100.000 empleados. Fue condenado por fraude y ocasionó pérdidas a la empresa por valor de 2 millones de libras.
¿Qué se puede aprender?
Las amenazas internas pueden acarrear responsabilidades significativas a las organizaciones. Una plataforma de detección de estos incidentes reduce las posibilidades de que un empleado filtre y exponga información sensible, sobre todo, si tienen privilegios de acceso de los que puede abusar.
Vertafore: Falta de formación acerca de cómo almacenar datos
¿Qué pasó?
Por descuido, los empleados de esta empresa fabricante de software para aseguradoras filtraron datos de casi 28 millones de conductores en Texas (EE UU) al almacenarnos de forma poco segura.
¿Qué se puede aprender?
La formación de los empleados sobre los procesos y protocolos de ciberseguridad adecuados es fundamental para cualquier organización. También conviene contar con un sólido programa frente a amenazas internas que garantice la prevención de la pérdida de datos.
Stradis: Sabotaje en medio de la crisis pandémica
¿Qué pasó?
El exvicepresidente financiero de esta organización sanitaria en EE UU borró o modificó más de 115.000 registros de datos a modo de venganza, paralizando el envío de equipos de protección individual (EPI) en los primeros días de lucha contra la Covid-19.
¿Qué se puede aprender?
Si se crean cuentas falsas o se manipula información puede ser un indicativo clave de amenaza interna, lo cual deberá ser detectado por el software de seguridad y revisado internamente a la mayor brevedad posible. Aquellos empleados con episodios disciplinarios o con mayores privilegios deben ser considerados de alto riesgo y, por tanto, ser supervisados con especial precaución.