Una amenaza interna es una amenaza percibida a una organización que proviene de personas dentro de la organización, como empleados, ex empleados, contratistas o socios comerciales, que tienen información privilegiada sobre las prácticas de seguridad, los datos y los sistemas informáticos de la organización. La amenaza puede implicar fraude, robo de información confidencial o comercialmente valiosa, robo de propiedad intelectual o sabotaje de sistemas informáticos.
Los iniciados podrán tener cuentas que les proporcionen acceso legítimo a sistemas informáticos, acceso que les fue concedido originalmente para el ejercicio de sus funciones; Se podría abusar de estos permisos para dañar a la organización. Los iniciados suelen estar familiarizados con los datos y la propiedad intelectual de la organización, así como con los métodos existentes para protegerlos. Esto hace que sea más fácil para el infiltrado eludir cualquier control de seguridad del que tenga conocimiento. La proximidad física a los datos significa que el interno no necesita piratear la red organizacional a través del perímetro exterior atravesando firewalls; más bien ya están en el edificio, a menudo con acceso directo a la red interna de la organización. Es más difícil defenderse de las amenazas internas que de los ataques externos, ya que el interno ya tiene acceso legítimo a la información y los activos de la organización. [1]
Una persona con información privilegiada puede intentar robar propiedad o información para beneficio personal o para beneficiar a otra organización o país. [1] La amenaza a la organización también podría provenir del software malicioso que antiguos empleados dejaron ejecutándose en sus sistemas informáticos, lo que se conoce como bomba lógica .
Las amenazas internas son un área activa de investigación en el mundo académico y gubernamental.
El Centro de Coordinación CERT de la Universidad Carnegie-Mellon mantiene el Centro CERT de amenazas internas, que incluye una base de datos de más de 850 casos de amenazas internas, incluidos casos de fraude, robo y sabotaje; la base de datos se utiliza para investigación y análisis. [2] El equipo de amenazas internas de CERT también mantiene un blog informativo para ayudar a las organizaciones y empresas a defenderse contra los delitos internos. [3]
El Laboratorio de Amenazas y el Centro de Investigación de Seguridad y Personal de Defensa (DOD PERSEREC) también surgió recientemente como un recurso nacional dentro de los Estados Unidos de América. El Threat Lab organiza una conferencia anual, la SBS Summit. [4] También mantienen un sitio web que contiene recursos de esta conferencia. Para complementar estos esfuerzos, se creó un podcast complementario, Voices from the SBS Summit. [5] En 2022, Threat Lab creó una revista interdisciplinaria, Counter Insider Threat Research and Practice (CITRAP), que publica investigaciones sobre la detección de amenazas internas. [ cita necesaria ]
En el Informe de investigaciones de violaciones de datos (DBIR) de 2022, Verizon descubrió que el 82 % de las violaciones involucraban el elemento humano, y señaló que los empleados continúan desempeñando un papel de liderazgo en los incidentes y violaciones de ciberseguridad. [6]
Según la Oficina del Comisionado de Información del Reino Unido, el 90% de todas las infracciones que se les informaron en 2019 fueron el resultado de errores cometidos por los usuarios finales. Esta cifra fue superior al 61% y al 87% de los dos años anteriores. [7]
Un documento técnico de 2018 [8] informó que el 53 % de las empresas encuestadas habían confirmado ataques internos contra su organización en los 12 meses anteriores, y el 27 % afirmó que los ataques internos se habían vuelto más frecuentes. [9]
Un informe publicado en julio de 2012 sobre las amenazas internas en el sector financiero estadounidense [10] ofrece algunas estadísticas sobre los incidentes de amenazas internas: el 80% de los actos maliciosos se cometieron en el trabajo durante las horas de trabajo; El 81% de los perpetradores planearon sus acciones de antemano; El 33% de los perpetradores fueron calificados de "difíciles" y el 17% de "descontentos". El informante fue identificado en el 74% de los casos. El beneficio económico fue el motivo en el 81% de los casos, la venganza en el 23% de los casos y el 27% de las personas que cometieron actos maliciosos se encontraban en dificultades financieras en ese momento.
El Centro de Investigación de Seguridad del Personal del Departamento de Defensa de EE. UU. publicó un informe [11] que describe enfoques para detectar amenazas internas. Anteriormente publicó diez estudios de casos de ataques internos por parte de profesionales de la tecnología de la información . [12]
Los expertos en ciberseguridad creen que el 38% de los insiders negligentes son víctimas de un ataque de phishing , mediante el cual reciben un correo electrónico que parece provenir de una fuente legítima, como una empresa. Estos correos electrónicos normalmente contienen malware en forma de hipervínculos . [13]
Se han propuesto múltiples sistemas de clasificación y ontologías para clasificar las amenazas internas. [14]
Los modelos tradicionales de amenazas internas identifican tres categorías amplias:
La investigación sobre amenazas internas ha sido criticada. [15]
Al adoptar enfoques sociotécnicos, los investigadores también han defendido la necesidad de considerar las amenazas internas desde la perspectiva de los sistemas sociales. Jordan Schoenherr [17] dijo que "la vigilancia requiere una comprensión de cómo se formulan los sistemas de sanciones, cómo responderán los empleados a la vigilancia, qué normas del lugar de trabajo se consideran relevantes y qué significa 'desviación', por ejemplo, desviación de una norma organizacional justificada o falla. ajustarse a una norma organizacional que entra en conflicto con los valores sociales generales". Al tratar a todos los empleados como posibles amenazas internas, las organizaciones pueden crear condiciones que conduzcan a amenazas internas.