Future Insights - El aumento de las amenazas internas como servicio

Las amenazas más grandes vendrán de las personas y los lugares que usted menos imagina

Al visualizar las amenazas a su organización, es posible que imagine estados nacionales maliciosos o ladrones virtuales codiciosos del otro lado del mundo. Sin embargo, ¿qué sucede si el riesgo viene de un empleado encubierto? ¿O si la persona no es siquiera real? ¿O si se trata del vecino del que nunca sospechó? En 2021 veremos amenazas que surgen de lugares inesperados y, a veces, la llamada vendrá desde dentro de la casa.

Las amenazas internas como servicio: En el pasado pensamos en las "amenazas internas" como empleados insatisfechos que dejan las instalaciones con información confidencial oculta en sus portafolios. Hoy, en cambio, sus empleados pueden encontrarse desparramados por todo el mundo; es posible que los contrate tras solo una reunión por Zoom, y que nunca hayan visitado siquiera sus oficinas. Y hoy, se puede comprar prácticamente cualquier cosa en la internet oscura o dark web, por ejemplo, “empleados confiables”. En 2021, estimo que veremos células organizadas de infiltrados de reclutamiento que ofrezcan medios dirigidos específicamente para que personas con malas intenciones se conviertan en empleados confiables, con el objetivo de exfiltrar propiedad intelectual (IP) incalculable. Estas personas con malas intenciones se convierten en agentes encubiertos que superan fácilmente el proceso de entrevistas y pasan todos los obstáculos que sus equipos de RR. HH. y seguridad establecieron para detenerlos.

Queremos creer que nuestros empleados son buenas personas. No obstante, las estadísticas nos muestran que entre un 15 y 25 por ciento no lo son. La única manera de detectar a estar personas antes de que causen daños irreparables a su organización es entender el comportamiento humano y reconocer cuando sus actividades no coincidan con su perfil.

Identidades sintéticas: Creo que veremos otra nueva forma de identidad falsa, que surgirá específicamente para la industria de los servicios financieros en 2021. Según McKinsey, el fraude mediante identidades sintéticas es el tipo de crimen financiero de mayor crecimiento en los Estados Unidos y se está ampliando a otras geografías. Los estafadores sintéticos utilizan credenciales reales y falsas para crear un perfil falso lo suficientemente bueno para solicitar créditos. Si bien las solicitudes suelen ser rechazadas por la oficina de créditos, tener un perfil es suficiente para crear cuentas y comenzar a crear un historial de crédito "real" para solicitar cuentas bancarias, tarjetas de crédito y préstamos. Distinguir entre una identidad real y una sintética resulta casi imposible y, dado que no se está robando la identidad de una persona individual, las víctimas reales son las empresas que no tienen forma de recuperar las pérdidas.

Se pensaría que las tecnologías modernas como el aprendizaje automatizado podrían identificar fácilmente este tipo de fraude. El problema es detectar el conjunto de datos con el cual entrenar al aprendizaje automatizado: ¿cómo mostrarle de qué manera identificar a una persona falsa cuando estas son casi imposibles de distinguir de las personas reales?

La respuesta es ir más profundo para establecer la identidad con fuentes de datos de terceros que muestren un historial congruente o una identificación cara a cara de un pasaporte o una licencia de conducir. Con el tiempo, las empresas pueden crear una lista de verificación de incongruencias que por lo general se encuentran en las identidades sintéticas y usarla para entrenar a un algoritmo para que señale automáticamente archivos sospechosos para que se tomen medidas.

El hacker vecino: A raíz de nuestros estudios sobre el comportamiento sabemos que es más fácil, y más cómodo, para los profesionales de ciberseguridad creer que todos los ataques vienen de fuerzas externas, e imaginar a los atacantes como extranjeros mal intencionados. Sin embargo, la verdad es que los estados nacionales suelen tener objetivos de mayor valor que las escuelas y los hospitales. Además, quieren pasar inadvertidos: si se roba la fórmula de una vacuna, por ejemplo, esta tiene más valor si nadie se da cuenta de que se sustrajo.

Los ataques del estilo DDoS o para molestar suelen provenir de sospechosos locales. Por ejemplo, ¿quién conoce el sistema de seguridad de una escuela mejor que un alumno que utiliza la red y que tiene motivos para causar trastornos?

Las escuelas de Miami-Dade descubrieron esto por las malas cuando se supo que un alumno de 16 años había sido el autor intelectual de un ataque cibernético que ocurrió el primer día de clases. La red se vio superada por ataques del estilo DDoS que causaban mensajes de error y fallas que trastornaron las aulas virtuales durante días.

Con frecuencia, cuando se trata de una fuga de datos, es más probable que venga desde adentro. Vemos muchos casos de robo de datos de bajo nivel de parte de empleados que creen que no serán descubiertos y, ciertamente, una gran cantidad de fugas de datos causadas por el error humano o una mala administración de seguridad. A medida que la pandemia de COVID-19 continúa empujando el trabajo y la educación a los hogares, y obliga a los hospitales a recurrir cada vez más a la telemedicina para tratar a los pacientes, miles de empresas confían crecientemente en la tecnología, y corren más riesgos que antes de tener empleados problemáticos.

Los líderes de seguridad deben tomar en serio y reconocer como un riesgo real a las amenazas internas, y deben hacer las preguntas difíciles sobre si se cuenta con las herramientas y soluciones para detectar y detener el comportamiento anómalo, antes de que sea demasiado tarde.