Amenazas internas: cuando el peligro proviene de dentro de la empresa

3 min de lectura

El 60 por ciento de todas las pérdidas de datos se deben a empleados internos: ya sea de forma maliciosa, negligente o por estar comprometidos. Mientras las empresas invierten millones en seguridad perimetral, la amenaza más grande a menudo pasa desapercibida: sus propios empleados, socios y contratistas.

En resumen

Alcance: El 60 % de todas las pérdidas de datos están relacionadas con empleados internos (Verizon DBIR 2024).
Tipos: Tres categorías: empleados maliciosos (robo de datos), empleados negligentes (configuraciones erróneas) y empleados comprometidos (credenciales robadas).
Costes: De media, 15,4 millones de dólares por incidente interno (Ponemon/DTEX 2024).
Detección: 85 días de media hasta detectar un incidente interno.
Prevención: El análisis de comportamiento de usuarios y entidades (UEBA) detecta anomalías en el comportamiento del usuario antes de que se produzca daño.

Los tres rostros de la amenaza interna

Empleados maliciosos actúan con intención: robo de datos antes de cambiar de empleo, sabotaje por frustración, espionaje industrial. Representan el 25 por ciento de los incidentes internos, pero causan el mayor daño por incidente.

Empleados negligentes son el tipo más frecuente: el 56 por ciento de todos los incidentes. Almacenamiento en la nube mal configurado, correos electrónicos con datos sensibles reenviados por error, ordenadores portátiles perdidos sin cifrado. No existe intención maliciosa, pero el daño es real.

Empleados comprometidos no saben que representan una amenaza: sus credenciales han sido robadas mediante phishing, sus dispositivos infectados con malware. Desde el punto de vista de los sistemas de seguridad, su acceso parece legítimo, hasta que se descubre el daño.

Detectar señales de advertencia

La investigación del CERT Insider Threat Center de la Universidad Carnegie Mellon identifica cinco indicadores de alerta temprana:

1. Acceso fuera de lo normal: Un empleado que de repente accede a bases de datos que no tienen relación con su puesto.

2. Cantidades inusuales de datos: Descargas o copias de grandes volúmenes de datos a dispositivos de almacenamiento externos o servicios en la nube.

3. Anomalías temporales: Actividad en horarios inusuales: por la noche, durante el fin de semana o en vacaciones.

4. Escalada de privilegios: Intentos de obtener derechos de acceso superiores a los necesarios para su puesto.

5. Desencadenantes organizativos: Renuncia, amonestación, traslado, promoción denegada. Estos eventos están fuertemente correlacionados con comportamientos maliciosos internos.

Medidas técnicas de contramedida

Análisis de comportamiento de usuarios y entidades (UEBA): El aprendizaje automático crea perfiles de referencia para cada usuario y detecta desviaciones. Si un desarrollador accede de repente a datos financieros, UEBA emite una alerta. Herramientas: Microsoft Sentinel, Exabeam, Securonix.

Prevención de pérdida de datos (DLP): Evita que datos sensibles abandonen la empresa a través de correo electrónico, USB, subida a la nube o impresoras. Microsoft Purview, Symantec DLP y Digital Guardian son soluciones consolidadas.

Gestión de acceso privilegiado (PAM): Controla y registra los accesos privilegiados. Grabación de sesiones, concesión de acceso justo a tiempo (Just-in-Time) y revocación automática tras su expiración. CyberArk y BeyondTrust son líderes del mercado.

Zero Trust: Cada acceso se verifica continuamente, incluso por parte de usuarios internos. La microsegmentación impide el movimiento lateral. Control de acceso basado en identidad, no basado en red.

Medidas organizativas

La tecnología por sí sola no basta. Medidas organizativas abordan las causas:

Procesos de desvinculación (Offboarding): Desactivación inmediata de todos los accesos tras una renuncia. Reforzar el monitoreo durante el periodo de preaviso. Documentar la devolución de todos los dispositivos y soportes de almacenamiento.

Principio del mínimo privilegio: Cada empleado dispone únicamente de los derechos de acceso necesarios para su tarea actual. Revisiones periódicas de accesos, al menos trimestrales.

Cultura: Canal de denuncia para comportamientos sospechosos sin estigmatización. No se trata de una cultura de vigilancia, sino de una cultura de seguridad. La diferencia radica en la transparencia sobre las medidas y su justificación.

Key Facts auf einen Blick

Participación de empleados internos en pérdidas de datos: 60 % (Verizon DBIR 2024)

Coste medio por incidente: 15,4 millones de dólares (Ponemon/DTEX 2024)

Tiempo hasta la detección: 85 días de media

Tipo más frecuente: Empleados negligentes (56 % de todos los incidentes)

Fuente: Verizon, Instituto Ponemon, DTEX Systems, Carnegie Mellon CERT, 2024

Preguntas frecuentes

¿Cómo diferencio amenazas reales de falsas alarmas?

Los sistemas UEBA correlacionan varios indicadores: un acceso tardío aislado no supone una alerta. Un acceso tardío a datos inusuales poco después de una renuncia, sí. El análisis basado en contexto reduce considerablemente los falsos positivos.

¿Es legal el monitoreo de empleados?

En Alemania rigen requisitos estrictos: el comité de empresa debe estar implicado, es obligatoria la transparencia y debe respetarse la proporcionalidad. UEBA y DLP son permitidos si se comunican de forma transparente y se acuerdan a nivel de empresa.

¿Qué hacer ante la sospecha de un empleado malicioso?

Activar inmediatamente el equipo de respuesta ante incidentes, iniciar la preservación forense y consultar con asesoría jurídica. No realizar acusaciones precipitadas. Primero asegurar pruebas, luego confrontar, idealmente con la participación de RRHH y el departamento legal.

¿Cómo me protejo frente a empleados comprometidos?

La autenticación multifactor resistente al phishing (FIDO2/Passkeys) elimina el vector de compromiso más común. La detección y respuesta en el punto final (Endpoint Detection and Response) identifica dispositivos comprometidos. Y Zero Trust garantiza que credenciales robadas sean inútiles sin el contexto adecuado.