ciberdelincuentes, soborno y extorsión a empleados

Los ataques a los sistemas de información de las compañías han evolucionado hasta hacerse tremendamente sofisticados. Actualmente los ciberdelincuentes explotan vulnerabilidades en aplicaciones, configuraciones de equipos o protocolos de redes de comunicaciones para hacerse con los datos o los sistemas de cualquier organización.

En este contexto, a menudo leemos noticias sobre los complejos mecanismos que utilizan para subvertir el comportamiento de los equipos y hacerse con su control. Cuando eso ocurre, estamos seguros de que muchas personas pensarán en los profundos conocimientos que deben tener estos ciberdelincuentes, capaces de analizar sistemas, evaluar sus puntos vulnerables y desarrollar programas y modelos de ataque que requieren de sofisticadas herramientas informáticas.

Por eso mismo, cuando descubrimos que el soborno o la extorsión forman parte habitual de los mecanismos usados para acceder a las cuentas de los usuarios privilegiados y con ellas a los datos protegidos de una organización, esa fascinación se nos viene abajo. Y es que las técnicas de ingeniería social son probablemente la mejor herramienta para vulnerar la seguridad de una compañía.

Ciberdelincuentes, casos emblemáticos

Los conocidos como ataques internos son probablemente la amenaza más sería que se presenta en las organizaciones actuales. A través de errores involuntarios o acciones intencionadas, los empleados de una compañía representan el punto de acceso que puede poner en riesgo toda la seguridad de una compañía.

Técnicas como el phishing, vishing o smshing actualmente se ven complementadas por acciones enfocadas en reclutar empleados que ayuden a infiltrarse en las redes corporativas. Algunos grupos de ciberdelincuencia llegan a ofrecer cantidades desorbitadas a aquellos empleados que estén dispuestos a traicionar a sus compañías.

Los ejemplos han sido, y son, históricamente muy representativos. Hace apenas unos años, se descubrió que un empleado de Tesla había sido tentado para exfiltrar información secreta de la compañía con la promesa de recibir 1 millón de dólares.

Finalmente, el soborno no tuvo éxito porque el propio empleado lo denunció, y el delincuente, un amigo y excompañero, fue detenido. De igual manera, el pasado año, un empleado de Ubiquiti fue acusado de extorsionar a su compañía con la información que había robado meses antes. Curiosamente, antes de ello, el propio empleado había formado parte del equipo interno que investigó el referido incidente.

En 2019, LockBit, uno de los ransomwares más activos en el mercado en la DarkWeb, ofreció “relaciones comerciales” a empleados de varias compañías para compartir “beneficios” si instalaban su malware dentro de sus organizaciones.

Más recientemente, el grupo de ciberdelincuencia LAPSUS$ divulgó, a través de sus cuentas en redes sociales, ofertas económicas a empleados y exempleados de algunas compañías para que les proporcionaran credenciales de acceso a cuentas privilegiadas. De hecho, se cree que muchos de los “éxitos” de este grupo recae precisamente en la colaboración de empleados internos sus víctimas.

La “nueva” moda de los ciberdelincuentes: soborno y extorsión a empleados

La amenaza interna

Es muy probable que las compañías hayan centrado su foco de atención en los riesgos que provienen del exterior, pasando de puntillas por aquellas amenazas que surgen dentro de la misma organización.

En la actualidad, casi la mitad de los incidentes de ciberseguridad que se producen en una compañía tienen como protagonista un actor interno. De acuerdo con los análisis proporcionados por Forrester, el número de ciberataques a través de actores internos han crecido en más de un 8% en 2021. De facto, es conocido que las grandes corporaciones se sienten a menudo amenazadas, por ejemplo, por empleados descontentos que crean identidades falsas en la DarkWeb para ofrecer sus servicios al mejor postor.

Las amenazas internas son un grave problema para cualquier organización: son difíciles de detectar, los empleados tienen cada vez más conocimientos tecnológicos para actuar sin ser detectados, disponen de acceso legítimo a los sistemas y los datos, hacen uso de herramientas propias del teletrabajo y, sobre todo, basan mucha parte de su seguridad en la asunción del cumplimiento normativo dictado por la compañía.

Por ejemplo, según un estudio realizado por MITRE y la compañía DTEX, un 56% del robo de datos surgen de empleados que abandonan la compañía para unirse a la competencia; cada año se triplica el número de incidentes relacionados con la filtración de datos confidenciales a través de capturas de pantallas de información compartidas en los sistemas de videoconferencia durante el teletrabajo; y el número de empleados que utilizan los equipos corporativos, con datos confidenciales, para temas personales se han multiplicado por cuatro.

Plan de mitigación

Combatir este tipo de amenazas ha de convertirse pues en una prioridad para las compañías. Un programa efectivo de mitigación de amenazas internas resultará fundamental y servirá para proteger sus activos y servicios críticos.

Monitorizar el comportamiento de los empleados para detectar a aquellos que hacen uso ilícito de los recursos que tienen disponibles, evaluar el nivel de riesgo que cada empleado representa para la compañía, implantar estrategias enfocadas en reforzar la seguridad de las posibles víctimas de acuerdo a sus posibles vulnerabilidades o involucrar a los propios empleados en el proceso de detectar, comunicar, detener o mitigar el comportamiento inadecuado de otro empleado, son algunos de los aspectos que un Plan de Mitigación de Amenazas Internas debe cubrir.

Lo cierto es que existen numerosos factores que influyen en la materialización de una amenaza interna, incluyendo la predisposición personal del empleado, las presiones a las que está sometido (profesionales, financieras, sociales…), sus comportamientos habituales dentro y fuera de la compañía o las pautas de actuación en las tareas profesionales que tiene encomendadas. El concepto de “burnout” o empleado “quemado” es un buen ejemplo de una situación propicia para la culminación con éxito de cualquier de estos riegos. No existe presupuesto de ciberseguridad que proteja frente a sus posibles consecuencias.

Recomendaciones

La elaboración de un Plan de Mitigación de amenazas internas es una tarea compleja en tiempo y forma. Aun así, no queremos dejar pasar un conjunto de recomendaciones básicas que pueden servir de referencia a la hora de plantear los primeros pasos en la dirección adecuada:

  • Principio del menor privilegio posible. Se trata de un paso muy sencillo, y a la vez importante, que una compañía puede llevar a cabo a la hora de protegerse de estas amenazas: implementar un modelo de gestión de acceso que solo asigne privilegios a los empleados para aquellos servicios e información que son necesarios para la función que tienen atribuida.
  • Monitorización y detección de anomalías internas. A menudo, las compañías tienden a proteger sus infraestructuras con sistemas de firewalls, antivirus de puestos de trabajo, actualizaciones de versiones de sistemas operativos, etc. Sin embargo, suelen olvidar la monitorización del tráfico dentro de la red. Los comportamientos anómalos en la red son, en muchas ocasiones, evidencias que muestran que algo raro está ocurriendo y requieren especial atención. En ocasiones, son simples accesos a recursos no habituales, ejecuciones de procesos fuera de horario, conexiones de dispositivos externos, envío de correos electrónicos a direcciones desconocidas, etc. Cualquier evento que rompa con la rutina habitual de un empleado puede ser objeto de análisis.
  • Segmentación de redes. Los ataques de ransomware, por ejemplo, tienden a propagarse por la red a través de movimientos laterales, por eso, segmentar el acceso a las redes reducirá el riesgo de propagación a otros entornos dentro de la infraestructura de la compañía. Pues eso mismo ocurre con los accesos de los empleados: la posibilidad de acceder a subredes departamentales a empleados que no tienen relación con ellas puede suponer un alto riesgo para cualquier compañía; de ahí que establecer segmentaciones debidamente protegidas pueda ser un elemento fundamental para reducir riesgos.
  • Trazabilidad de acciones. La correcta identificación de los usuarios, así como el registro de sus actividades, pueden permitir en último término identificar el origen de un incidente de seguridad. Los datos recogidos pueden ser analizados tanto en tiempo real como para un futuro análisis forense para determinar la posible implicación de un empleado en un ataque interno.
  • Código de conducta. Toda compañía debe definir un código de conducta para todos los empleados en el desempeño de sus funciones. Establecer protocolos de uso de los recursos a disposición de los empleados puede significar la diferencia a la hora de poder recurrir, o no, a datos recogidos para ser presentados en denuncias administrativas o penales. Los propios procesos de comunicación internas deben ser confidenciales y se deben definir estrictas normas disciplinarias frente a los que vulneran el código de conducta.

Finalmente, existe una última recomendación que no siempre está recogida en un documento pero que resulta quizás más indispensable y crítica: promueva una cultura de empresa honesta y transparente; conozca a sus empleados y hágales partícipes de su importancia para el devenir de la compañía. Quizás así acabe conociendo un poco más sus filias y fobias, y quizás así pueda contribuir a evitar que un tercero malintencionado se aproveche de ellas.

                                                            Autor: Juanjo Galán, Business Strategy de All4Sec