‘Insiders’ en Ciberseguridad: “Atrápame si puedes”

Martiniano Mallavibarrena    25 abril, 2022
Pasajeros en el aeropuerto esperando a embarcar en un avión

Si a cualquiera de nosotros nos preguntaran sobre el hipotético aspecto y perfil de los responsables de un incidente grave de ciberseguridad en una gran empresa, creo que todos pensaríamos automáticamente en el arquetipo que el cine nos presenta de forma constante: adolescentes con capuchas, trabajando con ordenadores portátiles llenos de pegatinas en una casa comunitaria donde la música suena demasiado alta y el ambiente es de los más “delictivo”.

Lo curioso del asunto es que hay un espacio importante de oportunidad para incidentes de seguridad y ciberseguridad en el ámbito interno de las organizaciones: empleados, personal temporal, empresas de servicios, contratistas, etc.

Tipologías de ‘insiders’

Vamos a ver las distintas tipologías de “insiders” que es el nombre común que se suele utilizar en este campo para denominar, de forma genérica, a todas las tipologías que producen el mismo efecto: incidentes de seguridad cuyo autor está dentro del “perímetro” de la organización (como concepto, las murallas del castillo medieval donde vive la población a proteger):

Empleados descontentos o resentidos

Con mucha frecuencia, las organizaciones tienen empleados con bajo rendimiento o con situaciones difíciles que suelen generar situaciones de tensiones, sanciones, estancamiento en las carreras, amenaza de despido, etc. 

Estas personas asumen o saben que serán despedidas o que su carrera en la compañía ha terminado o está en vía muerta. Ante esa perspectiva, algunas personas deciden dañar a la compañía, robar datos, realizar actos de vandalismo (incluso físicos) o facilitar a terceros accesos remotos con fines maliciosos.

Adicciones y problemas personales

Otro grupo que suele tener presencia en las organizaciones es el de personas que por diversos motivos están en una situación personal complicada: a nivel económico, a nivel emocional, sufriendo alguna adicción, etc. Ello facilita muchas veces la realización de actos desesperados por conseguir dinero o por llamar la atención de sus superiores. También facilita, como veremos a continuación, los escenarios de tipo extorsión.

Sobornos y extorsión

Sobre todo relacionado con el ecosistema militar y con las industrias ligadas a patentes (farmacéuticas, ingeniería aeroespacial, fabricantes de dispositivos móviles, etc.), los casos de sobornos y extorsiones (sobre todo por el uso de engaños, prostitución, etc.) es tristemente frecuente. Por estos medios, actores externos logran influir sobre personal interno para convertirlos en sus colaboradores (“insiders”).

Motivación política, religiosa. Activismo

En algunos casos, sobre todo en sectores donde la ética y las creencias personales pueden jugar un papel importante, las motivaciones de tipo “opinión o creencia” pueden ser críticas: sectores como el armamentístico, el farmacéutico, etc. Pueden provocar reacciones extremas entre su personal (el caso de los empleados que dejaron Google en 2018 por las relaciones de la compañía con el Dpto de Defensa en USA en los proyectos JEDI o Marven, es muy significativo).

Negligencia y accidentes

Este grupo también tiene su lugar en la estadística general: personal interno que por negligencia provoca incidentes de seguridad: bien por un efecto constante (ejemplo: no haber configurado bien un sistema y dejarlo expuesto a Internet sin la debida protección), bien por un acto específico en un momento dado (Ejemplo: Olvidar un pendrive o unos documentos confidenciales en una cafetería lo que provoca un escándalo en los medios).

¿Qué pueden hacer las compañías para protegerse?

Todas estas casuísticas provocan con frecuencia comportamientos de tipo “insider” donde no podemos olvidar que tenemos también a otros colectivos como el personal temporal, becarios y trabajadores en prácticas, consultores y auditores temporales o empresas de servicios (limpieza, cáterin, mantenimiento) que tienen acceso a nuestras oficinas, a veces en horarios poco habituales y con acceso especial a sistemas o dependencias.

La pregunta clave ahora es ¿Qué podemos hacer como compañía? Es realmente un problema complejo pues la casuística es muy amplia (¿Qué empresa no tiene con frecuencia personas aisladas o en soledad en ubicaciones remotas?).

1. Detección temprana

El principal aspecto para comentar es de la detección temprana de posibles personas de este tipo de perfil o de alto riesgo. Normalmente, la seguridad corporativa tiene un vínculo regular con el área de Recursos Humanos (dirección de personas) y se suelen identificar estas personas de forma conjunta para su supervisión, sanción, etc.

  1. Como se ha comentado, un caso posible sería el de personas realmente enojadas con la empresa realizando actos vandálicos o personas con adicciones claras que piden todos los meses adelantos económicos a su salario. Las quejas o comentarios suelen llegar primero a recursos humanos: broncas en la cafetería, destrozos en ciertas dependencias, personas con síntomas de alcoholismo o de trabajar bajo los efectos de sustancias, etc.
  2. En este mismo bloque, algunas organizaciones utilizan plataformas denominadas de forma genérica “People Analytics” para detectar patrones incoherentes o sospechosos de comportamientos que pueden resultar predictivos de futuros problemas: conexiones largas fuera de horario, intentos fallidos de acceso a sistemas corporativos, cambios de horario bruscos no justificados, giro radical en su actividad social en la compañía (en redes sociales internas, portales de tipo Intranet, etc.)

2. Centrarse en el riesgo (no en la motivación)

Desde el campo de la ciberseguridad, debemos tener nuestros sistemas de protección, prevención y detección bien configurados para poder cubrir el caso del actor interno de la forma debida.

Obviamente, el enfoque es centrarse en el riesgo y no analizar la motivación. Algunas plataformas que normalmente se utilizan son:

  • Plataformas de tipo CASB (Cloud Access Security Broker) suelen detectar muchas situaciones anómalas que debidamente tratadas pueden estar relacionadas con incidentes “desde dentro” (movimientos masivos de ficheros fuera de horario a servicios de almacenamiento personales, por ejemplo) o uso recurrente de software no autorizado para conectar con ubicaciones atípicas en Internet.
  • Funcionalidades de tipo DLP (Data Loss Prevention) que estando orientados a problemas legales con pérdidas o robo de datos (data leaks) pueden ser la primera fase de un problema mucho mayor, caso de tener éxito pues el insider seguirá escalando su ataque buscando el mayor daño posible.
  • Servicios de tipo IAM (Identity & Access Management) que nos alertarán en caso de situaciones incoherentes o excepcionales en cuanto a las conexiones (inicios de sesión, intentos fallidos, etc.). Un caso típico podría ser uso de una cuenta no privilegiada en un ordenador personal de una persona que utiliza información clasificada. Este caso se puede corresponder con el de un insider espiando el ordenador de su persona responsable o del Dpto financiero (quizás el propietario o propietaria no dejó bloqueado el sistema en su parada para almorzar).

3. Realizar un informe forense

Si finalmente tenemos un incidente por “insiders”: En este caso, la forma de trabajo suele ser la convencional (servicios de tipo DFIR, análisis de tipo Threat Hunting sobre plataformas de tipo SIEM o EDR/XDR) pero con el matiz importante de que es posible que tengamos que realizar un informe forense utilizable en un proceso judicial.

En estos casos, la extracción y custodia de evidencias deberá seguir unas pautas y lo mismo con los aspectos legales (sobre todo si se ha realizado denuncia ante la policía o cuerpo de seguridad correspondiente).

La mayoría de las investigaciones sobre este tipo de situaciones tendrán que pasar indiscutiblemente por dos tipos de sistemas:

  • Autenticación y acceso: Ya comentados de tipo IAM o similares, donde podremos realizar búsquedas y comprobaciones sobre todo tipo de accesos o intentos de acceso para conectarlos con un relato que se completará en otras plataformas.
  • Actividad en ordenadores personales: Normalmente los actores de este tipo utilizarán sus propios ordenadores o personales o los de compañeros o responsables para realizar su actividad maliciosa. Por ello, las investigaciones de este tipo suelen utilizar plataformas de tipo EDR o XDR para en base a consultas complejas obtener esos patrones sospechosos ya comentados.

El resto de los sistemas a utilizar serán casi siempre los finales afectados (si aplicara): plataformas financieras o comerciales, sistemas de gestión documental, etc. Y los ya comentados de protección perimetral (SASE, CASB, DLP, etc.).

Conclusiones

  1. No asumir que podemos tener al “enemigo en casa” es un error fundamental que precede a muchos incidentes graves de seguridad. Las motivaciones son diversas pero el riesgo es siempre el mismo. Si como organización no ponemos la misma atención al exterior que al interior, estaremos generando un riesgo importante.
  2. La “detección temprana” es la mejor medida que podemos tomar para intentar minimizar la ocurrencia de este tipo de sucesos. Muchas de estas personas solo buscan venganza, lanzar un mensaje o solucionar compulsivamente un problema personal. Si podemos identificarles, hay un espacio para la solución pacífica.

No olvidemos nunca la cita de “El Padrino (parte II)”

Ten cerca a tus amigos, pero más cerca a tus enemigos”.

FF Coppola, 1974

Deja una respuesta

Tu dirección de correo electrónico no será publicada.