Actores de Amenazas Internas

Las amenazas internas surgen de actores que tienen algún nivel de acceso autorizado a los sistemas y recursos de una organización. Esto las hace particularmente peligrosas, ya que pueden eludir ciertos controles externos y aprovechar su conocimiento interno. Es fundamental comprender los tipos, motivaciones y características de estos actores para diseñar estrategias de mitigación efectivas.


Clasificación de Actores de Amenazas Internas

  1. Amenazas Internas con Privilegios Permanentes

    • Descripción:
      Son actores con acceso autorizado y continuo, como empleados de tiempo completo .
    • Ejemplo:
      Un empleado con acceso a bases de datos críticas que decide filtrar información o sabotear sistemas.

  2. Amenazas Internas con Privilegios Temporales

    • Descripción:
      Actores que tienen acceso temporal, como contratistas, consultores o invitados .
    • Ejemplo:
      Un contratista de mantenimiento accede al servidor de la empresa y copia información sin autorización.

  3. Ex-Empleados con Acceso Residual

    • Descripción:
      Ex empleados despedidos o que han renunciado, pero que mantienen acceso o conocimiento del entorno.
    • Ejemplo:
      Un ex empleado utiliza una cuenta no revocada


Motivaciones de los Actores de Amenazas Internas

  1. Venganza:

    • Descripción: Un empleado o ex empleado actúa con el objetivo
    • Ejemplo:
      • Borrar archivos críticos o sabotear bases de datos
      • Realizar ataques DDoS internos o modificar el registro

  2. Beneficio Económico:

    • Descripción: El actor busca obtener un beneficio financiero personal.
    • Ejemplo:
      • Filtrar información confidencial a competidores o venderla en la dark web.
      • Manipular facturas para desviar fondos (fraude financiero).

  3. Oportunismo:

    • Descripción: El actor descubre accidentalmente una oportunidad para explotar un recurso o sistema.
    • Ejemplo:
      • Acceda a un archivo de salarios visible en la red y trate de adivinar contraseñas.

  4. Motivación Ética (Denunciantes):

    • Descripción: Actores que divulgan información confidencial por razones éticas o para reportar actividades ilícitas.
    • Ejemplo:
      • Informar a las autoridades reguladoras sobre fraudes financieros o malas prácticas de la empresa.


Amenazas Internas No Intencionales

Estas amenazas ocurren sin intención maliciosa y suelen derivarse de errores humanos, negligencia o falta de conciencia de seguridad . Aunque no son intencionadas, pueden generar consecuencias graves.

Ejemplos Comunes de Amenazas Internas No Intencionales

  1. Mala Gestión de Contraseñas:

    • Descripción: Un usuario reutiliza contraseñas débiles o las comparte con compañeros.
    • Ejemplo:
      • Un empleado escribe su contraseña en una nota adhesiva visible en su escritorio.
    • Impacto:
      • Facilite el acceso no autorizado a sistemas críticos.

  2. TI en la Sombra:

    • Descripción: Los empleados introducen hardware o software no autorizados en el entorno de trabajo, sin el conocimiento de TI.
    • Ejemplo:
      • Un empleado utiliza una aplicación de almacenamiento en la nube (Dropbox) no autorizada para transferir archivos de trabajo.
    • Impacto:
      • Crea una superficie de ataque no supervisada y potencialmente vulnerable.

  3. Pérdida de Dispositivos No Cifrados:

    • Descripción: Un empleado pierde un portátil, USB o teléfono móvil con datos corporativos importantes.
    • Ejemplo:
      • Un empleado deja olvidado un dispositivo sin cifrado en un transporte público.
    • Impacto:
      • Exposición de información confidencial a personas no autorizadas.

  4. Errores en la Configuración de Recursos:

    • Descripción: Configuraciones erróneas realizadas por administradores o usuarios.
    • Ejemplo:
      • Un empleado comparte accidentalmente un archivo con permisos públicos en un servidor de nube.
    • Impacto:
      • Exposición de información sensible.


Ejemplos prácticos de Amenazas internas

Ejemplo 1: Empleado Descontento (Amenaza Intencional)

  1. Escenario:
    Un administrador de sistemas, molesto por no recibir un ascenso, decide sabotear los servidores de la empresa.
  2. Acción:
    • Borra archivos críticos y desactiva respaldos de sistemas.
    • Deja una puerta trasera para acceder en el futuro.
  3. Soluciones para mitigación:
    • Implementar el principio de privilegio mínimo para limitar accesos innecesarios.
    • Monitorear la actividad de cuentas privilegiadas con herramientas como SIEM .
    • Realizar auditorías periódicas y deshabilitar accesos de inmediato al desvincular empleados.

Ejemplo 2: Shadow IT (Amenaza No Intencional)

  1. Escenario:
    Un departamento instala una herramienta de colaboración en la nube sin consultar a TI. La aplicación tiene vulnerabilidades que son explotadas por un atacante.
  2. Acción:
    • El atacante roba datos sensibles almacenados en la aplicación.
  3. Soluciones para mitigación:
    • Implementar políticas estrictas de aprobación de software .
    • Utilice herramientas de descubrimiento de Shadow IT como Netskope o Microsoft Defender para aplicaciones en la nube .
    • Educar a los empleados sobre los riesgos de introducir software no autorizado.

Ejemplo 3: Contratista con Acceso Residual (Amenaza Intencional)

  1. Escenario:
    Un contratista que trabajó temporalmente para una organización sigue teniendo acceso a sistemas críticos después de finalizar su contrato. Aprovecha esta falla para exfiltrar datos.
  2. Acción:
    • Acceda a la red con credenciales no revocadas y extrae archivos confidenciales.
  3. Soluciones para mitigación:
    • Implementar un proceso estricto de desvinculación que incluya la revocación inmediata de accesorios.
    • Realizar revisiones periódicas de cuentas activas con herramientas como Active Directory Audit .
    • Utilizar autenticación multifactor (MFA) para agregar una capa adicional de seguridad.


Esquema General de Amenazas Internas

  1. Amenazas Internas Intencionales:

    • Motivaciones:
      • Venganza.
      • Beneficio económico.
      • Oportunismo.
    • Ejemplos:
      • Sabotaje de sistemas.
      • Fraude financiero.
      • Filtración de información.

  2. Amenazas Internas No Intencionales:

    • Causas:
      • Errores humanos.
      • Configuraciones incorrectas.
      • Negligencia en el uso de contraseñas.
    • Ejemplos:
      • Envío erróneo de correos.
      • TI en la sombra.
      • Pérdida de dispositivos no cifrados.


Conclusión: Claves para la Gestión de Amenazas Internas

  1. Implementar monitoreo continuo: Herramientas como SIEM y UBA para detectar comportamientos anómalos.
  2. Aplicar el principio de mínimo privilegio: Limitar accesos según roles y responsabilidades.
  3. Educar a los empleados: Capacitar en buenas prácticas de seguridad y concientización.
  4. Automatizar procesos de desvinculación: Revocar accesos de empleados, contratistas o invitados al inmediato finalizar su relación con la empresa.
Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar