Los analistas de seguridad llevan mucho tiempo advirtiendo a las empresas de los riesgos asociados a las amenazas internasNormalmente, las amenazas giran en torno a robos de propiedad intelectual, al espionaje industrial y a los daños que pueden causar empleados descontentos si siguen pudiendo acceder a información confidencial.

Por ejemplo, en 2010 después de haber sido despedido de su empresa, Texas Auto Center, Omar Ramos-López utilizó sus credenciales todavía vigentes para acceder al sistema Web de inmovilización de vehículos de la empresa, un sistema que se utiliza como tipo de em-bargo que inmoviliza vehículos de clientes que no han realizado el pago del plazo pertinente. Su venganza consistió no solo en inmovilizar más de 100 vehículos, sino en hacer sonar sus bocinas y alarmas constantemente en mitad de la noche.

La Oficina del Representante de Comercio de los Estados Unidos estima que los robos de propiedad intelectual suponen un gasto de 300 mil millones USD anuales1 a la economía del país.

La mayoría de directores de información y pro-fesionales de seguridad de TI están al tanto de este tipo de amenazas internas y, para mi-tigarlas, han aplicado algunas medidas. Aun así, en un entorno con numerosas externaliza-ciones, con posibilidad de trabajar con BYOD y saturado de redes sociales, estas amenazas internas más tradicionales no son más que la punta del iceberg.

Actualmente estas amenazas internas ocurren en todos los niveles, desde dispositivos móviles propios con poca seguridad que se conectan a la red hasta trabajadores externos, subcontra-tados, empleados de sucursales e incluso los denominados partners “de confianza”.

Además, el número de dispositivos que su-ponen un riesgo se ha disparado debido a la inclusión de dispositivos de streaming, dispositivos personales de almacenamiento en la nube, relojes o dispositivos de oficina inteligente (como termostatos inteligentes) y cualquier dispositivo que se pueda conectar a una red de forma inalámbrica o a través de Ethernet. Es decir, un montón de dispositivos. Y los piratas informáticos aprendieron hace tiempo que suele ser más sencillo realizar un ataque a través de, por ejemplo, una impresora conectada por WiFi, que a través de un PC con un software antivirus actualizado.

El personal interno con privilegios supone un alto riesgoUn riesgo incluso mayor proviene del “perso-nal interno con privilegios”, es decir, usuarios

Amenazas internas:Otros objetivos que ponen en peligro a su empresa

Riesgos internos: 7 signos de denegación

Tiene una estrategia BYOD que se centra en el bloqueo de usuarios, en lugar de controlar el acceso.

Los altos ejecutivos y otros usuarios avanzados no quedan vinculados por las mismas políticas de seguridad que el resto de usuarios.

Su empresa otorga acceso a terceros, como trabajadores externos y proveedores, sobre los que puede ejercer poco o ningún control.

Sus herramientas de seguridad no revocan privilegios automáticamente para empleados o terceros una vez que sus funciones cambian, dejan la empresa o, lo que es peor, han sido despedidos.

Sus empleados almacenan información confidencial en lugares difíciles de proteger (por ejemplo, servicios de almacenamiento en la nube, como Dropbox, o memorias USB, que a menudo se pierden, se roban o se llevan fuera de la oficina de forma intencionada).

No revisa los derechos de acceso de los usuarios con regularidad para determinar que solo se otorgarán los privilegios necesarios para realizar las tareas.

No dispone de ningún sistema para supervisar las actividades de los usuarios internos con privilegios.

Informe sobre aspectos clave

__________

1 "Remarks by Deputy USTR Robert Holleyman to the U.S. Chamber of Commerce Global Intellectual Property Center 2015 Global IP Summit", Holleyman II, 6 noviembre de 2015, consultado el 26 de julio de 2016, https://ustr.gov/about-us/policy-offices/press-office/speechestranscripts/2015/November/Remarks-Deputy-Holleyman-Global-IP-Center-2015.

Errores Uso indebidode información

privilegiada

Pérdida oextravío de

elementos físicos

Denegación delacceso al servicio

Softwarefraudulento

Otros errores

64 000 incidentes de seguridad…

Erroresinternos

Otros

18 % 15 % 15 % 12 % 24 %16 %

Informe sobre aspectos claveAmenazas internas: Otros objetivos que ponen en peligro a su empresa

2

internos con amplios derechos de acceso con privilegios a información empresarial confiden-cial, aplicaciones y sistemas. Generalmente, estas personas no intentan hacer un daño in-tencionado pero, dado que se les otorga (nor-malmente a directivos y administradores de TI) una amplia gama de privilegios, cualquier error de seguridad por su parte puede tener con-secuencias catastróficas. Además, un ataque dirigido específicamente a ellos podría suponer un daño incalculable para su empresa.

Según un reciente estudio de seguridad de Verizon, de los 64 199 incidentes de seguridad sometidos a examen, alrededor del 50 % se atribuían a errores de distinta índole, al mal uso de los empleados y a la pérdida o extravío de elementos físicos; todos ellos por parte del per-sonal interno. Si tenemos en cuenta las noticias aparecidas en los medios recientemente, sería natural suponer que estos incidentes genera-ron vulneraciones de la seguridad informática. Pero esto no ocurrió. Solo 2260 incidentes vul-neraron la seguridad informática. Y la mayoría de estos incidentes (más del 80 %) los provo-caron actores externos2.

Entonces, ¿a qué se debió la mayoría de in-cidentes de seguridad? Según el informe de Verizon, la mayoría de estos incidentes internos fueron el resultado de errores por parte del per-sonal interno o de un mal uso del acceso con privilegios. Entre los casos de errores genera-dos por el personal interno se encontraban el envío de documentos importantes a la persona equivocada y la publicación de información a la que podían acceder más personas de las de-seadas. También se descubrieron errores de configuración generados por el personal de TI. Un error de configuración puede resultar en un almacenamiento de datos confidenciales de forma poco segura o en la exposición de los mismos a personal no autorizado. El uso indebido de información privilegiada incluye el empleo del derecho de acceso para obtener información para usos distintos de los estable-cidos o no autorizados, como el envío de infor-mación importante por correo electrónico o su registro en servicios para el uso compartido de información; o el uso de hardware o software no aprobados, como una unidad USB3.

Las vulneraciones de seguridad informática no es lo único a lo que se expone su empresa cuando otorga derechos de acceso a usuarios internos con privilegios. En la Nochebuena de 2012, Netflix sufrió una interrupción del servi-cio. Dicha interrupción no se debió a un ataque malintencionado, sino que fue el resultado de la eliminación accidental de un Elastic Load Balancer (ELB) en Amazon Web Services

(AWS). Según AWS, “los datos se eliminaron como parte de un proceso de mantenimiento ejecutado en los datos de producción de ELB por error”. Los datos se perdieron en el proceso secundario del servicio de ELB y esto produjo la interrupción del servicio.

Es decir, simplemente se había tratado de un error de configuración. La eliminación se pro-dujo porque el acceso a los archivos críticos (que era necesario para el funcionamiento) se había “configurado incorrectamente en persistente en lugar de requerir la aprobación por acceso”. La resolución del incidente llevó varias horas porque los técnicos de soporte no entendían qué cambio había generado el problema.

Las amenazas persistentes, lentas, silenciosas y con un objetivo fijo suponen nuevos riesgos En respuesta a las nuevas herramientas avan-zadas de seguridad por niveles, como los pa-quetes de prevención de pérdida de datos o la seguridad basada en el comportamiento, los métodos de ataque han evolucionado, espe-cialmente cuando el objetivo de dichos ata-ques son empresas de gran valor.

En lugar de lanzar ataques de phishing mal es-critos y apresurados a una empresa en general, se dirigen a un único individuo, o incluso a cada uno de los miembros de la familia del individuo. Estos ataques dirigidos, denominados spear-phishing o whaling, tienen una tasa de éxito más alta, puesto que la ingeniería social estará orientada a una sola persona y será exclusiva para esa persona, o bien se habrán ajustado a un tipo específico de individuos, como ocurrió en un reciente caso de whaling relacionado con citaciones dirigidas a directores generales.

Para el citado caso se utilizó una táctica de ingeniería social muy astuta: una citación falsa. Se envió a unos 20 000 ejecutivos

Whaling relacionado con

citaciones a directores

generales:Se enviaron citaciones falsas a aproximadamente 20 000 ejecutivos y se produjeron

1800

infecciones

documentadas.

__________

2 Verizon 2016 Data Breach Investigations Report, páginas 1 y 7, © 2016 Verizon.

3 Verizon 2016 Data Breach Investigations Report, páginas 22, 35 y 40, © 2016 Verizon.

3www.netiq.com

aproximadamente con 1800 infecciones do-cumentadas y funcionó porque parecía parte de la rutina habitual. El fin de estos ataques de ingeniería social no es otro que adoptar la iden-tidad de un usuario interno, preferiblemente uno con derechos de acceso con privilegios. Una vez dentro, el pirata informático se hace pasar por el usuario interno y puede causar un gran daño con sus derechos y privilegios de acceso. Nuestra opinión es que, teniendo en cuenta los nuevos métodos de ataques de ci-berdelincuentes, las empresas deberían tratar todas las amenazas como “amenazas internas”.

Otro nuevo método de ataque es la amenaza persistente avanzada (ATP). Un antiguo cliché de seguridad decía que los piratas informáti-cos eran vagos e impacientes. Este concepto ha cambiado totalmente. Hasta ahora, las ATP se producían en el ámbito gubernamental y se utilizaban para el ciberespionaje. El gusano informático Stuxnet es un ejemplo perfecto.

Sin embargo, están siendo utilizadas por ci-bercriminales comunes y corrientes, especial-mente por los que forman parte de bandas cibercrimen organizado.

El ataque de ATP dirigido a la RSA en 2011 combinaba estas dos nuevas tácticas. El ata-que comenzó con correos electrónicos de spear-phishing dirigidos a un pequeño grupo de empleados de RSA, que se podrían cali-ficar como “usuarios internos con privilegios”. Todos los que hicieron clic en el archivo de Excel adjunto instalaron sin darse cuenta una puerta trasera debido a una vulnerabilidad de Adobe Flash. El resultado final fue que toda la base instalada de productos de RSA SecurID se vio afectada.

¿Se niega a reconocer la existencia de amenazas internas? Muchas empresas piensan que han resuelto el problema de las amenazas internas, cuando la realidad es que están expuestas a todo tipo de ataques. Un reciente estudio realizado por el

Ponemon Institute (encargado por Symantec) descubrió que, de los 3500 trabajadores encuestados en todo el mundo, la mitad de ellos había enviado correos electrónicos con documentos de la empresa a sus cuentas personales con regularidad. Un tercio de los encuestados admitía haber transferido docu-mentos de la empresa a servicios no aproba-dos de uso compartido de archivos, mientras que el 40 % había transferido archivos de tra-bajo a sus dispositivos móviles.

De hecho, el estudio concluyó que la prin-cipal causa de vulneración de la seguridad informática residía en los errores internos. Normalmente estos usuarios internos no pretenden causar ningún daño. Al contrario, intentan realizar el trabajo de la forma más eficaz posible. Si la empresa no ofrece bue-nas soluciones de almacenamiento en la nube o BYOD, los trabajadores más expertos bus-carán la forma de sortear lo que consideran obstáculos contraproducentes y desfasados.

Esto puede parecer ir contra toda lógica. Los ataques y filtraciones más importantes, como la filtración de Snowden o la vulneración de la seguridad informática de Target, dominan los titulares. Y no olvide que un portátil perdido fue el causante de la mayor vulneración de la se-guridad informática sobre asuntos de excom-batientes de Estados Unidos hace unos años.

Por otra parte, los datos arrojados por el es-tudio realizado por Enterprise Strategy Group (encargado por Vormetric) indicaron que cada vez es más difícil protegerse frente a las ame-nazas internas. Esta encuesta, realizada entre más de 1000 profesionales de TI de las em-presas de la lista 700 Fortune, descubrió que el principal problema es la masiva y constante ampliación del ámbito de TI. En otras palabras, aunque las herramientas de seguridad siguen mejorando en la detección de malware, las amenazas se acumulan a un ritmo cada vez más acelerado.

La necesidad de otorgar acceso a las aplica-ciones más importantes a una base de usuarios que se amplía rápidamente (usuarios móviles, trabajadores externos, partners, proveedores e incluso clientes) supone más riesgos de los que pueden asumir las herramientas de segu-ridad tradicionales. En la encuesta se destacó también que el 54 % de los profesionales de seguridad y TI considera que las amenazas in-ternas son hoy en día más difíciles de detectar y evitar que en 2011.

¿Por qué 2011? Dos tendencias vieron la luz en 2011: cloud computing y BYOD A ellas se deben añadir otros factores, como la progre-siva dispersión del personal (cada vez más em-pleados trabajan de forma remota al menos

El 54 % de los profesionales de seguridad y TI considera que las amenazas internas son hoy en día más difíciles de detectar y evitar que en 2011.

Informe sobre aspectos claveAmenazas internas: Otros objetivos que ponen en peligro a su empresa

4

un día a la semana), la externalización de la plantilla o los nuevos riesgos de malware en aplicaciones. Ninguna empresa está a salvo de las amenazas internas.

Cómo gestionar de forma proactiva las amenazas internasComo diría cualquier psicólogo, el primer paso para resolver un problema grande es admitir que uno lo tiene. Las empresas que creen que han reducido las amenazas internas corren un mayor peligro, puesto que no son capaces de ver el alcance del problema.

Y, al contrario, las empresas que han tomado medidas para solucionar el problema, ya sea creando una política de BYOD, buscando he-rramientas para aplicarla, supervisando datos conforme se transfieren por toda la red de empresa, buscando formas de aplicar polí-ticas o revocando privilegios al instante, no confían en haber evitado los riesgos internos. Las empresas proactivas son conscientes de que los riesgos internos suponen un problema constante y en continua evolución, y tendrán que esforzarse e invertir en las herramientas adecuadas para adaptarse al mismo ritmo.

Otro problema que tienen las empresas es no saber por dónde empezar. El problema es tan grande que sienten la necesidad de abordarlo todo a la vez, lo que es imposible. Además, el miedo de elegir el método incorrecto para em-pezar cuando se puede estar produciendo un ataque en una puerta trasera distinta, puede llegar a paralizarles.

Aquí tiene 5 consejos que las empresas pueden seguir para reducir los riesgos internos

1. Reducir el número de usuarios con privilegios en la empresa. Esta

es la tarea más difícil, ya que puede resultar complicado para un profesional de TI decirle a un director de información que su nuevo teléfono inteligente no cumple con las políti-cas corporativas de BYOD. El departamento de TI y el director de información tendrán que convencer a los directivos de que los usuarios con privilegios suponen un problema, quizás señalando ejemplos relevantes para apoyar la teoría, como el ataque de whaling relacionado

con citaciones dirigidas a directores generales. Los directivos también comprenden la nece-sidad de mantener la conformidad con las re-gulaciones. Es muy importante garantizar que no se accede a los datos confidenciales de forma no adecuada. Por ejemplo, PCI-DSS im-pone importantes sanciones a aquellos que no protegen correctamente la información de sus tarjetas de crédito. Por no hablar del gran im-pacto económico que puede sufrir su empresa en caso de que se produzca una vulneración de seguridad. Por citar un ejemplo, Target toda-vía está pagando compensaciones de millones de dólares estadounidenses exigidas en de-mandas interpuestas tras la vulneración de la seguridad informática que se produjo en 2013. Recientemente, se le solicitó al minorista con domicilio fiscal en Minneapolis que destinase 39,4 millones de dólares estadounidenses a compensar a las entidades bancarias y coo-perativas de crédito que se vieron afectadas por la vulneración4.

2. Reducir los privilegios que los administradores y otros usuarios

puedan tener. Los piratas informáticos saben desde hace mucho tiempo que nor-malmente el punto débil en la cadena de segu-ridad de una empresa son los administradores del sistema o TI, que tienen la fama de utilizar contraseñas débiles y dejar las contraseñas por defecto aplicadas a todos los dispositivos. Aunque obligue a los administradores a ir cam-biando las contraseñas seguras para todo, el mejor método será limitar su acceso. No les otorgue un acceso general. Póngales límites como al resto de usuarios y, en caso de que necesiten acceder a un sistema confidencial en particular, otórgueles un acceso temporal y realice un seguimiento del mismo.

3. Supervisar muy de cerca a los usuarios con privilegios. Los usua-

rios avanzados, los ejecutivos corporativos y los profesionales de TI suponen los ries-gos más importantes si finalmente resultan ser ciberdelincuentes o sus cuentas se ven

En condiciones reales, los documentos corporativosno están muy protegidos…

1/2 de los trabajadores encuestados en todo el mundo había enviado documentos de la empresa a sus cuentas personales de correo con regularidad.

1/3 de los encuestados admitía haber transferido documentos de la empresa a servicios no aprobados de uso compartido de archivos.

El 40 % había transferido archivos de trabajo a sus dispositivos móviles.

__________

4 Jonathan Stempel y Nandita Bose, "Target in $39.4 million settlement with banks over data breach", Reuters, 2 de diciembre de 2015, consultado el 27 de julio de 2016, www.reuters.com/article/us-target-breach-settlement-idUSKBN0TL20Y20151203#qmGPWO0mR7raj6J0.97

5www.netiq.com

comprometidas. En primer lugar, es impor-tante no otorgarles acceso a todo el sistema. Otórgueles acceso solo a lo que necesitan, y si la necesidad es temporal, revoque los pri-vilegios de forma puntual. En cuanto a los privilegios continuos, en lugar de averiguar la manera de supervisar a todos los usuarios, in-cluso a los empleados de bajo nivel que solo cuentan con los derechos de acceso estricta-mente esenciales, busque en primer lugar la forma de supervisar a los usuarios avanzados. Aquí es donde radican las amenazas más im-portantes. Sea proactivo en la supervisión de los comportamientos.

4. Aplicar poco a poco pero en firme las políticas anteriores al resto de

la empresa. Es decir, si debe otorgar acceso a trabajadores externos, limite el número de usuarios que obtienen dichos accesos con pri-vilegios. De hecho, limite el número de usua-rios con acceso a todo: si no les hace falta, no lo otorgue. Después limite sus privilegios. Si necesitan acceso a una aplicación de cadena de suministro, por ejemplo, no deberían poder utilizar esas credenciales para acceder a CRM.

5. Distribuir las herramientas ade-cuadas para el puesto. Tratar de

evitar amenazas internas con herramien-tas de seguridad antiguas es una estrategia arriesgada. Igual de arriesgado es confiar en proveedores anteriores para agregar nuevas funciones de seguridad complejas a paquetes de seguridad legados. Una solución mejor es adoptar un método de seguridad por niveles que esté formado por productos integrados de nivel superior. La solución integrada debe pro-porcionar a través de métodos automatizados el “contexto” necesario sobre los usuarios y eventos, para responder así a todos los porme-nores de cualquier evento de seguridad, ofre-ciendo a los equipos la inteligencia necesaria para detectar ataques y bloquearlos.

Perspectivas de futuroDel mismo modo que la nube, BYOD y la iden-tidad social y móvil continúan optimizando el desarrollo de la actividad empresarial (y au-mentando la complejidad de TI), puede que otros riesgos internos pasen desapercibidos. Puesto que cada vez más personas obtienen más acceso a nuestros datos confidenciales, necesitamos contar con una solución para de-terminar rápidamente si una actividad interna se considera adecuada o normal para la em-presa. Una vez más, esto requiere otro nivel de contexto.

La “identidad” es una fuente de contexto clave para entender qué es un comportamiento nor-mal para los usuarios en una empresa. Al in-tegrar la “identidad” del usuario con datos de eventos de seguridad, los equipos de seguri-dad pueden identificar rápidamente el acceso y la actividad de los usuarios anormales o arries-gados y obrar en consecuencia para eliminar la posible amenaza.

Con este enfoque, la gestión de la identidad, la gestión del acceso y las herramientas de gestión de los eventos de seguridad funcio-nan conjuntamente para proporcionar toda la información posible sobre quién es el usuario, qué actividad es normal para dicho usuario y a qué datos necesita acceder.

Hay una serie de soluciones en el mercado que pueden ayudarle a obtener un mayor control de los riesgos internos, presentes y futuros. La mayoría podrá solucionar uno o más de los problemas enumerados anteriormente.

Sin embargo, para conseguir una so- lución completa debería reflexionar sobre si cumple estos aspectos funda- mentales:

1. ¿Hace frente a todos los elementos de la infraestructura clave?

2. ¿Permite otorgar derechos de forma granular?

3. ¿Incluye las funciones de auditoría necesarias?

4. ¿Permite realizar un seguimiento sobre cómo utilizan los usuarios el acceso con privilegios?

5. ¿Permite supervisar los cambios y el acceso a archivos que contienen información importante como establecen los estándares indicados, como PCI-DSS versión 3.2 (supervisión de la integridad de los archivos)?

6. ¿Puede integrarse con las soluciones de supervisión de seguridad? (Idealmente, su SIEM también debería estar integrado con las soluciones de gestión de acceso e identidad para que la empresa contase con mayor visibilidad de quién está haciendo qué; de este modo podría identificar cuándo una actividad supone una amenaza y tomar medidas inmediatas para solventarla).

En un mundo tan complejo como el de la nube, la movilidad y las redes sociales, las amenazas que originan los usuarios internos o los usua-rios externos haciéndose pasar por internos son especialmente dañinas. Esto es particu-larmente cierto cuando los usuarios internos acumulan una gran cantidad de derechos de acceso con privilegios. Controlar el acceso y supervisar los cambios en sistemas y activos críticos resulta clave para reducir las posibles amenazas. Si desea obtener más informa-ción sobre la detección y bloqueo de ame-nazas internas antes de que sea tarde, visite: www.netiq.com/securitymanagement

584-ES0009-003 | Q | 01/17 | © 2016 NetIQ Corporation y sus filiales. Reservados todos los derechos. NetIQ y el logotipo NetIQ son marcas comerciales o marcas comerciales registradas de NetIQ Corporation en EE. UU. Los demás nombres de compañías y productos pueden ser marcas comerciales de sus respectivos propietarios.

www.netiq.com

NetIQArgentina+54 11 5258 8899

Chile+56 2 2864 5629 Colombia+57 1 622 2766

México+52 55 5284 2700

Panamá+507 2 039291

España+34 91 781 5004

Venezuela+58 212 267 6568

contact-es@netiq.comwww.netiq.com/communitieswww.netiq.com

Para obtener una lista completa de nuestras oficinas en América del Norte, Europa, Oriente Medio, África, Asia-Pacífico y América Latina, visite www.netiq.com/contacts.

www.netiq.com