Cuando una empresa piensa en ciberseguridad, generalmente imagina hackers externos, correos de phishing o malware entrando desde afuera. Pero hay una amenaza que vive adentro de la organización, tiene credenciales válidas, conoce los sistemas y muchas veces actúa sin que nadie lo note hasta que ya es tarde.
Se llama amenaza interna (insider threat), y según el informe Verizon Data Breach Investigations Report, representa más del 30% de todas las brechas de seguridad registradas globalmente. De esas, aproximadamente el 60% involucra empleados con más permisos de acceso de los que realmente necesitan para hacer su trabajo.
El problema no siempre es malicia. Muchas veces es negligencia, un error humano o simplemente que nadie auditó los permisos desde que esa persona entró a la empresa hace tres años.
¿Qué es una amenaza interna y por qué es tan difícil de detectar?
Una amenaza interna es cualquier riesgo de seguridad que proviene de personas dentro de la organización: empleados actuales o ex empleados, contratistas, proveedores con acceso a sistemas, o socios comerciales.
Lo que hace particularmente peligrosa a esta amenaza es que usa canales legítimos. No hay intrusión forzada. No hay un firewall que bloquear. El atacante —o el descuidado— ya tiene las llaves de la casa.
Existen tres perfiles principales:
El insider malicioso: Un empleado que deliberadamente roba datos, sabotea sistemas o filtra información confidencial. Puede estar motivado por dinero, venganza, o estar siendo presionado externamente.
El insider negligente: No tiene malas intenciones, pero sus errores abren la puerta. Comparte contraseñas, usa redes no seguras, hace clic en un link de phishing o guarda datos sensibles en su computadora personal.
El insider comprometido: Sus credenciales fueron robadas por un atacante externo que ahora opera desde adentro de la organización, pasando desapercibido porque usa una cuenta legítima.
Los tres son peligrosos. Los tres se previenen, en gran parte, con una correcta gestión de permisos de acceso.
El principio que la mayoría de las empresas ignora: mínimo privilegio
En seguridad informática existe un principio fundamental llamado Principio de Mínimo Privilegio (Least Privilege). Dice algo simple: cada usuario, sistema o aplicación debe tener acceso únicamente a los recursos que necesita para cumplir su función, y nada más.
Parece obvio. Sin embargo, la realidad en la mayoría de las empresas —especialmente medianas y pequeñas— es completamente distinta:
- El empleado de administración tiene acceso a la carpeta de RRHH con los sueldos de todos
- El desarrollador junior tiene permisos de escritura en producción
- El vendedor puede exportar toda la base de datos de clientes a Excel
- El ex empleado que se fue hace seis meses todavía tiene su cuenta activa
Esto no pasa por descuido o mala voluntad: pasa porque nadie lo revisó. En muchas organizaciones los permisos se asignan una vez y no se tocan más. El negocio crece, las personas cambian de rol, los sistemas se agregan, pero los permisos quedan como estaban.
Los riesgos concretos del acceso sin control
Exfiltración de datos
Un empleado con acceso a información comercial sensible —bases de clientes, precios, estrategias— puede llevarse esos datos al irse a la competencia o al iniciar un negocio propio. Si los permisos son excesivos, puede hacer esto sin que ningún sistema lo detecte como anomalía.
Acceso de ex empleados
Según el Ponemon Institute, el 20% de las empresas sufrió una brecha de seguridad provocada por un ex empleado cuyas credenciales nunca fueron revocadas. Es uno de los vectores más comunes y uno de los más fáciles de prevenir.
Error humano amplificado
Un empleado con permisos limitados que comete un error —borra un archivo equivocado, cae en phishing, ejecuta algo que no debía— genera un daño acotado. El mismo error cometido por alguien con permisos de administrador puede ser catastrófico.
Movimiento lateral de atacantes externos
Cuando un atacante externo obtiene las credenciales de un empleado (mediante phishing, por ejemplo), sus permisos excesivos le permiten moverse libremente por los sistemas de la empresa. Cuanto más limitados son los permisos, más contenido queda el daño.
Cómo se ve un buen modelo de control de acceso
Implementar control de acceso no significa bloquear todo y que nadie pueda trabajar. Significa que cada persona tiene exactamente lo que necesita, con los controles adecuados. Estos son los pilares:
1. Identity and Access Management (IAM)
Un sistema IAM centraliza la gestión de identidades y permisos de todos los usuarios de la organización. Define quién puede acceder a qué, bajo qué condiciones y desde dónde. Herramientas como Microsoft Entra ID (antes Azure AD), Okta o similares permiten gestionar esto a escala.
2. Role-Based Access Control (RBAC)
En lugar de asignar permisos individualmente a cada persona, se definen roles (vendedor, desarrollador, contador, administrador) con los permisos correspondientes a cada función. Cuando alguien entra o cambia de rol, se asigna o cambia el rol, no se configuran permisos a mano.
3. Revisiones periódicas de acceso (Access Reviews)
Auditorías regulares —trimestrales o semestrales— donde los responsables de cada área confirman qué permisos necesita realmente cada miembro de su equipo. Lo que no se confirma, se revoca.
4. Privileged Access Management (PAM)
Para los accesos más críticos —administradores de sistemas, bases de datos, infraestructura cloud— existen soluciones PAM que agregan capas de control: autenticación reforzada, registro de sesiones, acceso temporal con aprobación, y alertas automáticas ante comportamientos inusuales.
5. Offboarding automatizado
Un proceso claro y automático para revocar todos los accesos cuando un empleado se va de la empresa. Esto incluye cuentas de correo, sistemas internos, VPN, servicios en la nube y cualquier herramienta con credenciales propias.
Señales de que tu empresa tiene un problema de acceso sin control
Revisá esta lista. Si más de dos puntos aplican a tu organización, es momento de actuar:
- No sabés exactamente a qué sistemas tiene acceso cada empleado en este momento
- Los permisos se asignan manualmente, caso por caso, sin roles definidos
- Cuando alguien cambia de área, nadie revisa ni ajusta sus accesos anteriores
- Los ex empleados tardan más de 24 horas en tener sus accesos revocados (o nunca se revoca)
- No hay registros (logs) de quién accedió a qué información y cuándo
- Los administradores de IT usan sus cuentas con privilegios elevados para tareas cotidianas
- No existe un proceso formal de revisión periódica de permisos
El marco regulatorio que empieza a exigirlo
La gestión de acceso no es solo una buena práctica: en muchos contextos es un requisito legal o contractual. Normativas como ISO 27001, SOC 2, GDPR y —en Argentina— la Ley 25.326 de Protección de Datos Personales establecen obligaciones específicas sobre quién puede acceder a qué tipo de información y cómo debe controlarse ese acceso.
Para empresas que trabajan con clientes en Europa, Estados Unidos o sectores regulados (salud, finanzas, gobierno), estas exigencias ya son parte del proceso de habilitación comercial.
Tener un modelo de control de acceso documentado y auditable no es solo seguridad: es una ventaja competitiva.
Las herramientas de ciberseguridad que ayudan a controlar el acceso
Existen soluciones específicas para distintos aspectos del control de acceso. Algunas de las más relevantes para empresas medianas y grandes en Argentina y LATAM:
Para gestión de identidades y acceso (IAM): Microsoft Entra ID, Okta, OneLogin
Para privileged access (PAM): CyberArk, BeyondTrust, Heimdal Security
Para monitoreo y detección de comportamiento anómalo (UEBA): Varonis, Securonix, Exabeam
Para endpoint security (controlar acceso desde dispositivos): Bitdefender, Kaspersky Endpoint Security, McAfee
En Aufiero Informática somos distribuidores autorizados de soluciones de ciberseguridad líderes para Argentina y toda Latinoamérica. Trabajamos con más de 90 marcas globales y podemos asesorarte sobre qué herramientas se adaptan mejor al tamaño, presupuesto y necesidades reales de tu empresa — sin sobredimensionar ni subestimar la solución.
El costo de no hacer nada
El IBM Cost of a Data Breach Report 2024 estima que el costo promedio de una brecha de datos en América Latina supera los 2,5 millones de dólares, considerando pérdida de datos, tiempo de recuperación, daño reputacional, multas regulatorias y pérdida de clientes.
Las brechas causadas por insiders —maliciosos o negligentes— son históricamente más costosas y más lentas de detectar que las provocadas por atacantes externos, precisamente porque usan canales legítimos.
Frente a ese número, el costo de implementar un buen sistema de gestión de identidades y permisos es marginal.
Conclusión
El problema del acceso sin control no es tecnológico: es organizacional. Las herramientas existen, son maduras y accesibles. Lo que falta en la mayoría de las empresas es el proceso: definir roles, revisar permisos periódicamente, automatizar el offboarding y monitorear comportamientos anómalos.
La buena noticia es que no hace falta resolver todo de una vez. Un primer paso concreto —mapear qué accesos tiene cada empleado hoy— ya cambia el panorama de seguridad de una organización.
Si querés entender cómo mejorar el control de acceso en tu empresa y qué soluciones de ciberseguridad se adaptan a tu contexto, en Aufiero Informática podemos ayudarte.
