Menu

Intrusos maliciosos: tipos, características e indicadores

Si bien las organizaciones invierten grandes cantidades de dinero en proteger sus datos contra el acceso no autorizado desde el exterior, las amenazas internas maliciosas pueden representar un daño igual de grave. Según el Informe de Investigaciones de Violaciones de Datos de Verizon 2024, el 35 % de todas las violaciones de datos sufridas por grandes organizaciones en 2023 fueron causadas por actores internos.

Las organizaciones que son víctimas de amenazas internas maliciosas se enfrentan a numerosas consecuencias negativas: desde la pérdida de datos confidenciales, ingresos y clientes hasta el daño a la reputación o incluso la quiebra. Analicemos con más detalle cómo su organización puede detectar a las amenazas internas maliciosas antes de que causen daños.

 

¿Qué es un infiltrado malicioso?

El Centro de Amenazas Internas de los Equipos de Respuesta a Emergencias Informáticas (CERT) define a un infiltrado malintencionado como uno de los empleados, contratistas o socios comerciales actuales o anteriores de una organización que exceden o hacen mal uso intencional de su acceso autorizado de una manera que afecta negativamente la confidencialidad, integridad o disponibilidad de la información o los sistemas de información de la organización.

Los atacantes internos maliciosos son más difíciles de detectar que los externos, ya que tienen acceso legítimo a los datos de una organización y dedican la mayor parte de su tiempo a sus tareas habituales. Por lo tanto, detectar ataques internos maliciosos requiere mucho tiempo y esfuerzo. El Informe Global sobre el Costo de los Riesgos Internos 2025 del Instituto Ponemon indica que se tarda un promedio de 81 días en detectar y contener un incidente de seguridad relacionado con información privilegiada.

Tipos de actividad maliciosa

En la Guía de sentido común para mitigar las amenazas internas, CERT clasifica las actividades de los atacantes maliciosos de la siguiente manera:

Types of malicious insider activity

Intellectual property theft

Sabotage

Fraud

Espionage

  • El robo de propiedad intelectual (PI) consiste en la adquisición no autorizada de información empresarial confidencial, como secretos comerciales, código fuente, investigaciones científicas o diseños patentados. Según investigadores del CERT, más de la mitad de los casos de robo de PI involucran a personal técnico (desarrolladores, investigadores e ingenieros), cuyas habilidades y nivel de acceso les permiten extraer discretamente grandes volúmenes de datos. Los desencadenantes comunes incluyen la necesidad financiera, la insatisfacción laboral, el deseo de ayudar a un nuevo empleador o la creencia de que el trabajo robado les pertenece.
  • El sabotaje informático es un abuso de las tecnologías de la información para causar un daño específico a una organización o persona. Estos ataques también suelen ser realizados por administradores de sistemas, programadores u otros empleados con conocimientos técnicos que pueden ocultar sus acciones maliciosas y desestabilizar las operaciones de una organización. Estas personas suelen estar motivadas por el deseo de vengarse de una experiencia laboral negativa y, por lo general, ejecutan sus ataques durante su empleo o poco después de su despido.
  • El fraude implica obtener acceso no autorizado a los datos de una organización o modificarlos. Generalmente, la motivación del fraude es el lucro personal o el robo de datos con la intención de robar identidad o usar tarjetas de crédito. Estos ataques suelen ser cometidos por empleados de finanzas, contabilidad o puestos ejecutivos que pueden manipular registros, emitir pagos no autorizados o acceder a información personal identificable (PII). En la mayoría de los casos, estas personas actúan por avaricia o presión financiera.
  • El espionage consiste en la recopilación y transferencia no autorizada de información confidencial de una organización, como secretos comerciales, datos de clientes o planes estratégicos, para beneficio de un gobierno extranjero o una entidad competidora. El espionaje suele ser llevado a cabo por personas de confianza con acceso legítimo, como ingenieros, investigadores o líderes de proyecto, y puede estar motivado por ideología, presión o lucro.

Es importante comprender que los ataques de personas internas maliciosas rara vez se cometen de forma aleatoria, ya que suelen planificar sus acciones con minuciosidad o actuar después de un evento desencadenante. Comprender la ruta de un usuario para cometer un acto malicioso es clave para identificar a tiempo posibles amenazas de personas internas maliciosas y prevenir daños antes de que ocurran.

Cómo los usuarios confiables se convierten en infiltrados maliciosos

La hoja informativa sobre amenazas internas 101 de CISA describe seis etapas distintas que marcan el camino de un informante hasta provocar un incidente malicioso.

 

1. Queja e ideación

Las intenciones maliciosas de un usuario contra su organización suelen estar motivadas por una reacción emocional ante una injusticia o un revés personal. Esto puede deberse a un rechazo profesional, problemas financieros, conflictos sociales o diferencias ideológicas. Con el tiempo, el usuario se aferra a estas emociones negativas y empieza a creer que perjudicar a su organización está justificado. Si no se abordan sus frustraciones, podría dar el primer paso hacia la comisión de un acto malicioso.

 

2. Preparación

En esta etapa, el usuario supera la frustración y comienza a planificar cómo causar el mayor daño posible. Puede empezar identificando herramientas, recopilando información o buscando vulnerabilidades en sus sistemas o flujos de trabajo. Los atacantes también pueden empezar a robar archivos confidenciales o manipular procesos. Si bien algunos abandonan sus planes en esta etapa, otros se sienten cada vez más comprometidos, especialmente si la raíz de sus emociones negativas sigue sin resolverse.

3. Exploración

Lo que distingue a esta etapa de las demás es el cambio de la planificación a la evaluación de cómo, cuándo y dónde pueden actuar con la menor probabilidad de detección. El personal interno puede investigar las vulnerabilidades del sistema y evaluar qué activos de la organización son más valiosos. En ocasiones, intentan involucrar a otros empleados.

4. Experimentación

En este punto, el atacante puede empezar a probar partes de su plan en condiciones reales. Puede intentar acceder a áreas restringidas, ejecutar scripts o simular ataques hostiles para ver cómo responde el sistema de seguridad de su organización. Estas pruebas le ayudan a evaluar los riesgos y a ajustar su plan en consecuencia. Si no obtiene respuesta, el atacante puede sentirse motivado a seguir adelante con sus acciones maliciosas.

5. Ejecución

El infiltrado ejecuta su plan en esta etapa. Utiliza su acceso y conocimiento de sus sistemas internos para robar datos, sabotear operaciones, dañar la infraestructura, etc. Elige cuidadosamente el momento del ataque para evitar ser detectado y causar el máximo daño. Si aún no ha detectado ninguna señal de advertencia, es posible que no descubra la amenaza hasta que ya haya causado daños..

6. Escapar

Tras el incidente, el infiltrado malicioso se centra en evitar las consecuencias. Puede intentar manipular las pruebas o engañar a los investigadores. Algunos pueden abandonar la organización de inmediato, mientras que otros permanecen para seguir explotando su acceso. Con este modelo en mente, profundicemos en varios indicadores clave, tanto conductuales como técnicos, de un empleado deshonesto que puede representar una amenaza maliciosa para su organización.

Indicadores de comportamiento de personas malintencionadas

No todos los empleados se convierten en infiltrados maliciosos, así que no hay necesidad de levantar sospechas sobre todos. Al contratar, preste atención a las siguientes señales de un infiltrado potencialmente peligroso:

  • Verificación de antecedentes, incluidos registros oficiales de arrestos, acoso, piratería o violaciones de seguridad en antiguos lugares de trabajo.
  • Historial de incumplimiento de políticas corporativas
  • Falsificación de información de contratación
  • Casos de comportamiento poco profesional
  • Comportamiento abusivo hacia otros empleados
  • Conflictos de personalidad
  • Mal uso de viajes, tiempo o gastos en antiguos lugares de trabajo
  • Conflictos con antiguos compañeros de trabajo o supervisores

Los indicadores de comportamiento también pueden aparecer durante la relación laboral con su organización y señalar el descontento de un empleado y su posible predisposición a tomar medidas maliciosas. Su departamento de recursos humanos (RR. HH.) debe prestar mayor atención a los empleados o contratistas que:

  • Violar las políticas corporativas
  • Tener conflictos con compañeros
  • tener un desempeño deficiente
  • Están profundamente interesados en proyectos en los que no están involucrados.
  • Utilizar las bajas por enfermedad con demasiada frecuencia
  • Trabajar sin vacaciones

En estos casos, el departamento de RR. HH. debe analizar los motivos de este comportamiento con el empleado e intentar facilitar una solución. También debe informar a los responsables de seguridad para que puedan realizar una monitorización técnica específica de los empleados en cuestión. Aunque puede que no haya indicios de un ataque en curso durante estos periodos, es importante monitorizar constantemente los eventos sospechosos y detectar anomalías.

Indicadores técnicos de infiltrados maliciosos

Los indicadores tecnológicos de una amenaza interna maliciosa incluyen acciones que involucran computadoras o medios electrónicos. Para ejecutar sus ataques, los atacantes internos pueden abusar del acceso legítimo autorizado a datos corporativos críticos o crear una nueva ruta para acceder a activos no autorizados y ocultar su identidad o acciones. Analicemos algunos indicadores de diferentes tipos de actividades internas maliciosas (robo de propiedad intelectual, sabotaje, fraude y espionaje) y ejemplos de filtraciones reales.

Indicadores de robo de propiedad intelectual

En casos de robo de propiedad intelectual, personas con información privilegiada intentan acceder, robar y compartir datos críticos con competidores o futuros empleadores, o bien conservarlos para uso personal. Dado que estas personas pueden tener acceso regular a los datos en el desempeño de sus funciones, puede ser bastante difícil detectar el robo de datos. Sin embargo, los responsables de seguridad deben prestar atención a las siguientes acciones que pueden ser un indicio de exfiltración de datos:

1 Portrait of Malicious Insiders

En 2024, Google demandó al exingeniero Harshit Roy por filtrar diseños de chips patentados. Roy, quien había trabajado en hardware para dispositivos Google Pixel, dejó la empresa y posteriormente comenzó a compartir especificaciones detalladas de la tecnología de chips de Google en X y LinkedIn. Incluso etiquetó a competidores de Google como Apple y Qualcomm para agravar el daño causado por la divulgación de la propiedad intelectual.

Indicadores de sabotaje

En casos de sabotaje, los infiltrados buscan dañar los sistemas, las operaciones o la reputación de una organización. Ciertas actividades pueden servir como señales de alerta temprana de un posible sabotaje:

El sabotaje puede causar graves daños operativos y a la reputación. En 2023, Tesla fue blanco de un incidente en el que dos exempleados filtraron datos confidenciales de sus empleados a un medio de comunicación extranjero. La filtración comprometió los nombres, direcciones, números de teléfono, historiales laborales y números de la Seguridad Social de más de 75.000 personas. Este caso ilustra cómo el sabotaje interno no siempre implica daños directos al sistema, sino que también puede resultar en la exposición de datos a gran escala.

Indicadores de fraude

Normalmente, el fraude consiste en modificar archivos de datos para beneficiar al atacante interno con una pequeña recompensa económica. Si bien estas acciones son difíciles de detectar, el fraude puede continuar mientras el atacante lo desee. Los atacantes internos también pueden abusar de sus privilegios de acceso legítimos y vender datos a terceros que luego pueden cometer robo de identidad.

3 Portrait of Malicious Insiders

En 2024, Paul Steed, Gerente Global de Riesgo de Precios de la Empresa Global de Cacao de Mars Wrigley, aprovechó su posición para malversar más de 28 millones de dólares de la empresa. Llevó a cabo un complejo plan: creó facturas falsas y malversó créditos de exportación, utilizó el dinero robado para comprar artículos personales y envió más de 2 millones de dólares a cuentas en Argentina.

Indicadores de espionaje

Personas involucradas en espionaje utilizan su acceso para recopilar y filtrar información interna valiosa a grupos externos. Las acciones de usuario que se enumeran a continuación pueden indicar posibles intentos de espionaje:

4 Portrait of Malicious Insiders

En 2025, Keith O’Brien, un exempleado de la empresa de tecnología de RR. HH. Rippling, usó su acceso para espiar para una empresa de la competencia, Deel. Fue reclutado en secreto por el director ejecutivo de Deel y pagó 5000 € (unos 5500 $) al mes en criptomonedas para robar información confidencial. O’Brien extraía información de servicios como Slack, Salesforce y Google Drive (principalmente sobre planes de nómina y detalles de clientes) hasta que fue descubierto por el equipo de seguridad de Rippling. Afortunadamente, con la ayuda de herramientas dedicadas a la monitorización de la actividad de los empleados y la detección de amenazas internas, los operadores de seguridad y los administradores de sistemas pueden detectar las primeras señales de actividad maliciosa antes de que se produzcan daños irreversibles.

Prevenir actividades internas maliciosas con Syteca

Syteca es una plataforma de ciberseguridad que protege a las organizaciones contra amenazas internas. Syteca garantiza una protección robusta de los sistemas y activos internos, permitiéndole controlar los permisos de acceso, obtener visibilidad en tiempo real de las acciones de los usuarios y detectar y responder rápidamente a actividades sospechosas.

5 Portrait of Malicious Insiders

Syteca limita la exposición a amenazas internas mediante un control granular de quién puede acceder a sistemas y datos confidenciales y bajo qué circunstancias. Con Syteca, puede aplicar los principios de mínimo privilegio, acceso justo a tiempo y seguridad de confianza cero para dificultar considerablemente que personas malintencionadas usen indebidamente los permisos de acceso o aumenten su nivel de acceso. La Gestión de Acceso Privilegiado (PAM) de Syteca le permite:

El Monitoreo de Actividad de Usuarios (UAM) de Syteca le ayuda a supervisar toda la actividad dentro de su infraestructura y a detectar eventos inusuales, respetando al mismo tiempo la privacidad del usuario. Al monitorear continuamente la actividad de los usuarios en todos los endpoints, Syteca permite a los equipos de seguridad detectar las primeras señales de amenazas internas maliciosas. Con Syteca UAM, puede:

Cuando se produce actividad sospechosa, Syteca no solo envía notificaciones en tiempo real a su equipo de seguridad, sino que también facilita la toma de medidas rápidas y eficaces. Las alertas basadas en reglas y las acciones de respuesta permiten a los equipos de seguridad abordar incidentes provocados por personal malicioso antes de que dañen su organización. Syteca le permite:

  • Utilice una biblioteca de alertas preconfiguradas que puedan detectar:
    • Implementación de software de hacking
    • Intercambio de archivos a través de servicios en la nube
    • Visitas a sitios web FTP, etc.
  • Adapte alertas personalizadas para abordar sus necesidades de seguridad únicas
  • Automatice la respuesta a incidentes configurando reglas que puedan:
    • Mostrar mensajes de advertencia a los usuarios
    • Bloquear dispositivos USB no autorizados
    • Bloquear usuarios maliciosos
    • Eliminar procesos dañinos

Ya sea que se implemente localmente, en la nube o en entornos híbridos, Syteca se integra fácilmente con su infraestructura. La plataforma está diseñada para una implementación y escalabilidad rápidas, lo que le permite proteger su entorno con rapidez y adaptarse eficientemente a la evolución de su organización. Al aprovechar Syteca, puede fortalecer sus defensas de ciberseguridad y reducir los riesgos de seguridad que representan los ataques internos maliciosos para los activos de su organización.

Conclusión

Detectar a un atacante interno malicioso es una tarea compleja para las organizaciones. Sin embargo, con una estrecha colaboración entre los equipos de seguridad y otros departamentos de su organización, puede identificar los primeros indicadores de un ataque interno y detenerlo antes de que se produzcan daños. Con la plataforma de ciberseguridad Syteca, no solo puede detectar rápidamente las amenazas internas, sino también mejorar las medidas preventivas que su organización implementa para combatir la actividad maliciosa.

Te gustaría leer

Aufiero Informática - Logo Transparente
  • Argentina: +54-11-2150-5353
  • Brasil: +55-11 5242 0742
  • Chile: +56-2-2405-3246
  • Colombia: +57 333 033 4470
  • México: +52-55-8526-3019
  • Perú: +51-1-640-9337
  • United States: +1(305)404-5229
  • Uruguay: +598 0004054432
  • ventas@aufieroinformatica.com
  • vendas@aufieroinformatica.com

Aufiero Informática® - Saltos Bajos LLC - © 2024

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle