‘Insiders’ en Ciberseguridad: “Atrápame si puedes”Martiniano Mallavibarrena 25 abril, 2022 Si a cualquiera de nosotros nos preguntaran sobre el hipotético aspecto y perfil de los responsables de un incidente grave de ciberseguridad en una gran empresa, creo que todos pensaríamos automáticamente en el arquetipo que el cine nos presenta de forma constante: adolescentes con capuchas, trabajando con ordenadores portátiles llenos de pegatinas en una casa comunitaria donde la música suena demasiado alta y el ambiente es de los más “delictivo”. Lo curioso del asunto es que hay un espacio importante de oportunidad para incidentes de seguridad y ciberseguridad en el ámbito interno de las organizaciones: empleados, personal temporal, empresas de servicios, contratistas, etc. Tipologías de ‘insiders’ Vamos a ver las distintas tipologías de “insiders” que es el nombre común que se suele utilizar en este campo para denominar, de forma genérica, a todas las tipologías que producen el mismo efecto: incidentes de seguridad cuyo autor está dentro del “perímetro” de la organización (como concepto, las murallas del castillo medieval donde vive la población a proteger): Empleados descontentos o resentidos Con mucha frecuencia, las organizaciones tienen empleados con bajo rendimiento o con situaciones difíciles que suelen generar situaciones de tensiones, sanciones, estancamiento en las carreras, amenaza de despido, etc. Estas personas asumen o saben que serán despedidas o que su carrera en la compañía ha terminado o está en vía muerta. Ante esa perspectiva, algunas personas deciden dañar a la compañía, robar datos, realizar actos de vandalismo (incluso físicos) o facilitar a terceros accesos remotos con fines maliciosos. Adicciones y problemas personales Otro grupo que suele tener presencia en las organizaciones es el de personas que por diversos motivos están en una situación personal complicada: a nivel económico, a nivel emocional, sufriendo alguna adicción, etc. Ello facilita muchas veces la realización de actos desesperados por conseguir dinero o por llamar la atención de sus superiores. También facilita, como veremos a continuación, los escenarios de tipo extorsión. Sobornos y extorsión Sobre todo relacionado con el ecosistema militar y con las industrias ligadas a patentes (farmacéuticas, ingeniería aeroespacial, fabricantes de dispositivos móviles, etc.), los casos de sobornos y extorsiones (sobre todo por el uso de engaños, prostitución, etc.) es tristemente frecuente. Por estos medios, actores externos logran influir sobre personal interno para convertirlos en sus colaboradores (“insiders”). Motivación política, religiosa. Activismo En algunos casos, sobre todo en sectores donde la ética y las creencias personales pueden jugar un papel importante, las motivaciones de tipo “opinión o creencia” pueden ser críticas: sectores como el armamentístico, el farmacéutico, etc. Pueden provocar reacciones extremas entre su personal (el caso de los empleados que dejaron Google en 2018 por las relaciones de la compañía con el Dpto de Defensa en USA en los proyectos JEDI o Marven, es muy significativo). Negligencia y accidentes Este grupo también tiene su lugar en la estadística general: personal interno que por negligencia provoca incidentes de seguridad: bien por un efecto constante (ejemplo: no haber configurado bien un sistema y dejarlo expuesto a Internet sin la debida protección), bien por un acto específico en un momento dado (Ejemplo: Olvidar un pendrive o unos documentos confidenciales en una cafetería lo que provoca un escándalo en los medios). La importancia del factor humano en ciberseguridad ¿Qué pueden hacer las compañías para protegerse? Todas estas casuísticas provocan con frecuencia comportamientos de tipo “insider” donde no podemos olvidar que tenemos también a otros colectivos como el personal temporal, becarios y trabajadores en prácticas, consultores y auditores temporales o empresas de servicios (limpieza, cáterin, mantenimiento) que tienen acceso a nuestras oficinas, a veces en horarios poco habituales y con acceso especial a sistemas o dependencias. La pregunta clave ahora es ¿Qué podemos hacer como compañía? Es realmente un problema complejo pues la casuística es muy amplia (¿Qué empresa no tiene con frecuencia personas aisladas o en soledad en ubicaciones remotas?). 1. Detección temprana El principal aspecto para comentar es de la detección temprana de posibles personas de este tipo de perfil o de alto riesgo. Normalmente, la seguridad corporativa tiene un vínculo regular con el área de Recursos Humanos (dirección de personas) y se suelen identificar estas personas de forma conjunta para su supervisión, sanción, etc. Como se ha comentado, un caso posible sería el de personas realmente enojadas con la empresa realizando actos vandálicos o personas con adicciones claras que piden todos los meses adelantos económicos a su salario. Las quejas o comentarios suelen llegar primero a recursos humanos: broncas en la cafetería, destrozos en ciertas dependencias, personas con síntomas de alcoholismo o de trabajar bajo los efectos de sustancias, etc.En este mismo bloque, algunas organizaciones utilizan plataformas denominadas de forma genérica “People Analytics” para detectar patrones incoherentes o sospechosos de comportamientos que pueden resultar predictivos de futuros problemas: conexiones largas fuera de horario, intentos fallidos de acceso a sistemas corporativos, cambios de horario bruscos no justificados, giro radical en su actividad social en la compañía (en redes sociales internas, portales de tipo Intranet, etc.) 2. Centrarse en el riesgo (no en la motivación) Desde el campo de la ciberseguridad, debemos tener nuestros sistemas de protección, prevención y detección bien configurados para poder cubrir el caso del actor interno de la forma debida. Obviamente, el enfoque es centrarse en el riesgo y no analizar la motivación. Algunas plataformas que normalmente se utilizan son: Plataformas de tipo CASB (Cloud Access Security Broker) suelen detectar muchas situaciones anómalas que debidamente tratadas pueden estar relacionadas con incidentes “desde dentro” (movimientos masivos de ficheros fuera de horario a servicios de almacenamiento personales, por ejemplo) o uso recurrente de software no autorizado para conectar con ubicaciones atípicas en Internet.Funcionalidades de tipo DLP (Data Loss Prevention) que estando orientados a problemas legales con pérdidas o robo de datos (data leaks) pueden ser la primera fase de un problema mucho mayor, caso de tener éxito pues el insider seguirá escalando su ataque buscando el mayor daño posible.Servicios de tipo IAM (Identity & Access Management) que nos alertarán en caso de situaciones incoherentes o excepcionales en cuanto a las conexiones (inicios de sesión, intentos fallidos, etc.). Un caso típico podría ser uso de una cuenta no privilegiada en un ordenador personal de una persona que utiliza información clasificada. Este caso se puede corresponder con el de un insider espiando el ordenador de su persona responsable o del Dpto financiero (quizás el propietario o propietaria no dejó bloqueado el sistema en su parada para almorzar). 3. Realizar un informe forense Si finalmente tenemos un incidente por “insiders”: En este caso, la forma de trabajo suele ser la convencional (servicios de tipo DFIR, análisis de tipo Threat Hunting sobre plataformas de tipo SIEM o EDR/XDR) pero con el matiz importante de que es posible que tengamos que realizar un informe forense utilizable en un proceso judicial. En estos casos, la extracción y custodia de evidencias deberá seguir unas pautas y lo mismo con los aspectos legales (sobre todo si se ha realizado denuncia ante la policía o cuerpo de seguridad correspondiente). La mayoría de las investigaciones sobre este tipo de situaciones tendrán que pasar indiscutiblemente por dos tipos de sistemas: Autenticación y acceso: Ya comentados de tipo IAM o similares, donde podremos realizar búsquedas y comprobaciones sobre todo tipo de accesos o intentos de acceso para conectarlos con un relato que se completará en otras plataformas. Actividad en ordenadores personales: Normalmente los actores de este tipo utilizarán sus propios ordenadores o personales o los de compañeros o responsables para realizar su actividad maliciosa. Por ello, las investigaciones de este tipo suelen utilizar plataformas de tipo EDR o XDR para en base a consultas complejas obtener esos patrones sospechosos ya comentados. El resto de los sistemas a utilizar serán casi siempre los finales afectados (si aplicara): plataformas financieras o comerciales, sistemas de gestión documental, etc. Y los ya comentados de protección perimetral (SASE, CASB, DLP, etc.). Conclusiones No asumir que podemos tener al “enemigo en casa” es un error fundamental que precede a muchos incidentes graves de seguridad. Las motivaciones son diversas pero el riesgo es siempre el mismo. Si como organización no ponemos la misma atención al exterior que al interior, estaremos generando un riesgo importante.La “detección temprana” es la mejor medida que podemos tomar para intentar minimizar la ocurrencia de este tipo de sucesos. Muchas de estas personas solo buscan venganza, lanzar un mensaje o solucionar compulsivamente un problema personal. Si podemos identificarles, hay un espacio para la solución pacífica. No olvidemos nunca la cita de “El Padrino (parte II)” “Ten cerca a tus amigos, pero más cerca a tus enemigos”.FF Coppola, 1974 ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? Boletín semanal de ciberseguridad 16–22 de abrilLos 0days en números: Chrome, Windows, Exchange… ¿Qué buscan los atacantes y los fabricantes?
Nacho Palou Typosquatting: cómo detectarlo y protegerse El typosquatting es un tipo de ciberataque que consiste en crear un nombre de dominio que sea muy similar al de un sitio web conocido y legítimo con la...
Telefónica Tech El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...