Uno de los problemas actuales que enfrentan las empresas en todo el mundo es, paradójicamente, uno de los menos tematizados: el de los “insiders”. El término anglosajón se usa para lo que nosotros, en América Latina, conocemos como un “topo”, un empleado que entrega información confidencial a un tercero. Durante estos últimos años, esto ha sido la puerta de entrada a ataques que llegaron a los titulares de diarios de todo el mundo.

Algunos casos recientes resonaron fuerte. Por un lado, CrowdStrike, una de las compañías más grandes del rubro, tuvo que despedir a un empleado que compartía capturas de pantalla internas con grupos de hackers. Por el otro, un empleado de otra compañía de seguridad fue descubierto como miembro del grupo de ransomware Black Cat.

Ninguno de los dos casos representan algo inédito. Le pasó en 2020 a Shopify, a Tesla en 2023, cuando un empleado filtró archivos internos a un medio de comunicación y Cisco tuvo a un exempleado que borró infraestructura de la empresa tras renunciar, en 2018 (aunque recién se supo en 2022). Y uno de los casos más recordados le ocurrió a la empresa de ciberseguridad KnowBe4, que contrató a un empleado que resultó ser un norcoreano infiltrado.

Ahora bien, atacar este problema demanda entender la naturaleza de la amenaza que se enfrenta. En primer lugar, el insider es peligrosísimo porque es un atacante que ya está registrado: no tiene que saltear firewalls, dobles factores o programas de EDR (antivirus). Ya que es un miembro legítimo de la red.

En segundo lugar, hay que entender el daño potencial que pueden causar: filtrar datos, dañar reputación, borrar información o vender un acceso interno para que un grupo profesional de cibercriminales explote esa ventana de oportunidad (esto, de hecho, existe y conforma un mercado, el de los IAB, Initial Access Brokers). Hasta han salido reportes sobre grupos cibercriminales que pagan entre US$ 3.000 y US$ 15.000 a insiders para acceder a información de empresas.

@@FIGURE@@

De hecho, en la década del 90 se hablaba de una proporción 60-40: el 60% de los ataques venían del interior de una organización, el resto de afuera. Y esto tenía mucho que ver con el fraude interno porque, en parte, había mucha menos exposición a internet. Esto fue cambiando con el tiempo hasta que apareció una suerte de híbrido: el externo necesita al empleado y le paga para comprarle un acceso.

Y en tercer lugar, hay un elemento que es muy difícil de manejar, que tiene que ver con la psicología del empleado. Muchas veces se trata de un trabajador frustrado, con pocas motivaciones, que no tiene tanta relación con el espionaje corporativo profesional (APT patrocinados por estados), sino con una persona que es una manzana podrida del cajón. Por esto hay una suerte de resurgimiento del análisis del fraude interno.

¿Cuál es la base de todo este problema? En parte, algo que aparece como una dificultad pero que también es parte de la solución: la confianza.

La confianza es, a fin de cuentas, uno de los pilares en los que se basa el modelo corporativo. Una cadena de responsabilidades unida, quizás de una forma mucho más endeble de lo que solemos creer, por los vínculos entre pares, superiores y subalternos.

El rol del insider es difícil de combatir porque para detectarlo hay que seguir de cerca comportamientos humanos. Y en el área tech estamos más acostumbrados a mirar computadoras y dispositivos, antes que personas.

Y también, el elefante en la sala: nadie quiere admitir que el riesgo puede estar sentado en el escritorio de al lado.

Cuando digo que la confianza también puede ser parte de la solución me refiero a que para que funcione, hay que ayudarla: desde nuestro rol de CISO, es fundamental darle elementos a los equipos de trabajo para que puedan progresar, sentirse reconocidos y entender que tienen responsabilidades que exceden a sus individualidades.

La “ayuda” a la que me refiero tiene que ver con ciertos controles que, bien aplicados, no son tanto un panóptico de vigilancia sino un par de guardarrails: roles críticos requieren privilegios amplios, reducirlos puede frenar una brecha.

No hay que establecer controles casi militares en la empresa ni asumir que todos son sospechosos, sino diseñar estructuras que hagan más difícil que un error o una mala decisión se conviertan en un incidente mayor.

Contener los privilegios que tiene cada cuenta es una buena forma de pensar el problema: si un empleado vende sus credenciales, ¿qué podría hacer un atacante con ellas? Esto reduce la superficie de ataque sin bloquear el negocio.

Controlar sólo cuestiones técnicas no alcanza: hay que analizar los patrones de comportamiento de los empleados, desde dónde se loguea, a qué horas y con qué regularidades. Esto arroja información valiosa para disparar una alerta y, en todo caso, congelar a un usuario hasta que se entienda qué sucedió.

Y, por último, entender que muchas veces el insider puede ser el reflejo de una organización deficiente con falta de incentivos, de capacitaciones o de un mal clima laboral, pero que muchas veces es una variable que no se puede controlar del todo: el que es delincuente no necesita de estos factores para delinquir.

Aceptar que el insider como problema no tiene una única solución es una de las claves para poder atacar este problema.