Distintos estudios del mercado sobre ciberseguridad predicen un crecimiento notable de los “Insiders” o informantes, son aquellos empleados que actúan como espías para robar datos críticos y vitales para las compañías. El trabajo remoto, protagonista de 2020, creó una superficie fértil para el desarrollo de este tipo de actores. De hecho, según Forrester, en 2021 se espera un crecimiento del 33% de la práctica de contratación de personas para que sean informantes o actúen de espías, práctica conocida como Insider Threat. Pero, ¿cómo podemos identificar a estos empleados?
Forcepoint, compañía global líder en ciberseguridad, nos comparte algunas alarmas y comportamientos sospechosos:
“Movimientos laterales”: como por ejemplo el conectarse al servidor desde una máquina que no es la propia del empleado o desde equipos de fuera de la oficina.
Eliminación de huellas: un empleado que borra continuamente los logs, buscando no registrar sus movimientos.
Movimientos atípicos de información: un empleado que carga o descarga una cantidad desproporcionada de archivos de la Nube o lo va haciendo paso a paso, con un ritmo constante diario.
Autoenvios: un empleado que envía archivos sensibles a su casilla de e-mail personal.
Perfil en búsqueda: un empleado que continuamente actualiza su LinkedIn y se muestra activo en la búsqueda de oportunidades laborales o aplicando a posiciones disponibles.
“Con la tecnología de hoy se pueden detectar este tipo de acciones que denotan cierto grado de riesgo en el comportamiento de un colaborador. Llegado este punto, hay que tener en claro que una gran parte de los trabajadores pueden intencionalmente filtrar datos, pero también están aquellos que lo hacen por desconocimiento en el uso de las plataformas o por ingenuidad. Es necesario para ello conocer el contexto en el que ocurren los incidentes y compararlos con los movimientos habituales del usuario para evitar malas interpretaciones”, afirma Alejandro Marthi, Ingeniero Sr de Forcepoint América del Sur y Caribe.
¿Cómo prevenir estos ataques internos?
Estas conductas no son nuevas en el ámbito de la ciberseguridad pero sí es totalmente nueva la tecnología para identificarlos. Actualmente ya existen soluciones que permiten trabajar con el monitoreo del usuario y de los datos de manera paralela y simultánea y generar un bloqueo inmediato, basado en el nivel de riesgo del usuario, cuando se detecta una actividad sospechosa. La aplicación de inteligencia artificial y machine learning acorta la brecha desde que comienza la exposición al riesgo hasta su detección, que hoy ya se puede disminuir a 0 y no los 198 minutos promedio que usualmente se consumen para la detección.
La implementación de este tipo de tecnologías innovadoras en materia de ciberseguridad permite poner el foco en las conductas de los colaboradores, seguir la trazabilidad de sus movimientos para poder elaborar un perfil de riesgo y desarrollar una estrategia de prevención dinámica.
“Quienes contratan a estos ‘Insiders’ suelen apuntar a tener como ‘caballo de troya’ a ejecutivos de mediano y alto rango, porque son los que acceden a datos críticos y confidenciales con sus permisos de acceso y credenciales”, agrega Marthi. “Por eso, también, en este marco los contactados pueden ser también profesionales de alto rango que debido a algún contratiempo sufrido quieran accionar contra la empresa y que eso los coloque en situación de comportarse como espías o insiders”.
Foto: Unsplash Chris Yang