La aparición de la pandemia causada por la Covid-19 ha traído consigo nuevos métodos de trabajo para las empresas. Con esto también el aumento del número de ciberataques que ponen en riesgo los datos de las compañías. Para hacer frente a esta situación, es importante que los trabajadores sepan de su riesgo. Según Proofpoing, el 58% de las empresas creen que sus empleados entienden su papel para hacer frente a este riesgo, tal y como hemos leía en el portal Redes Sociales.
A las clásicas amenas externas, en muchas ocasiones se les suma otra internas que no siempre son malintencionadas. En ocasiones, las negligencias por parte de los empleados, pone en riesgo información confidencial. Para evitar esta situación, las empresas suelen dedicar parte de su presupuesto a reducir estos riesgos.
Para este año, se estima que un tercio de los ataques serán de carácter interno. Por este motivo, Proofpoint ha recopilado 10 amenas internas que más ruido hicieron durante 2020 y 2021.
Microsoft: Perder la confianza de usuarios por un error de configuración
¿Qué pasó?
Más de 250 millones de registros de clientes quedaron expuestos durante 14 años por haber sido almacenados en servidores no seguros.
¿Qué se puede aprender?
Si bien errar es humano, un fallo de esta magnitud pone en tela de juicio las prácticas de seguridad y privacidad de grandes organizaciones, además de ocasionar pérdidas económicas y daños de reputación. Mitigar una posible fuga de datos requiere una solución que detecte errores de configuración de forma temprana y contenga un plan rápido de actuación.
ConocoPhillips: Malversación entre “amigos” internos y externos
¿Qué pasó?
Un empleado engañó al gigante petrolero con facturas falsas consiguiendo que pagaran más de tres millones de dólares a la empresa de un amigo suyo. Los daños causados superaron los siete millones.
¿Qué se puede aprender?
Una plataforma de gestión de amenazas internas y la monitorización de empleados de riesgo pueden ayudar a detectar peticiones fraudulentas antes de que sea demasiado tarde. También hay que tener en cuenta que en la mayoría de los ataques internos maliciosos están involucradas personas externas.
Postbank: Uso malicioso de cifrados
¿Qué pasó?
En Sudáfrica este banco sufrió un importante fallo de seguridad cuando varios empleados copiaron la clave principal de cifrado. Sustituir las tarjetas bancarias costó unos 58 millones de dólares.
¿Qué se puede aprender?
Hacer una buena gestión de amenazas internas implica la formación de los usuarios. Otros elementos a tener en cuenta en la detección y resolución de estas amenazas son el tiempo y el hecho de que los empleados pueden actuar en grupo para ejecutar un fraude a mayor escala.
Ejército de EE UU: Filtración accidental de información
¿Qué pasó?
Unos soldados estuvieron filtrando por accidente información confidencial sobre armas nucleares durante ocho años al utilizar una aplicación poco segura para memorizar protocolos de seguridad.
¿Qué se puede aprender?
Incluso personas sin malas intenciones pueden poner en peligro la seguridad de una organización o, como en este caso, de toda una nación. Por eso, todos los usuarios deben estar concienciados sobre ciberseguridad, en especial los que tienen acceso a informaciones más sensibles.
Twitter: Coacción a empleados para que faciliten credenciales
¿Qué pasó?
Una red de ciberdelincuentes encabezada por un adolescente de Florida consiguió las credenciales de herramientas administrativas de esta red social para hacerse con el control de cuentas verificadas y poner en marcha una estafa con bitcoins.
¿Qué se puede aprender?
Este ataque empañó la reputación de la plataforma. Una de las razones por las que resultó tan fácil a los estafadores infiltrarse y convencer a un empleado con privilegios de acceso pudo ser una política de seguridad de teletrabajo insuficiente. Para evitar estos incidentes, conviene otorgar accesos a un menor nivel entre empleados y supervisar cuidadosamente a usuarios de alto riesgo.
Empresa de aguas de Ellssworth en EE UU: Ataque intencionado contra redes y sistemas
¿Qué pasó?
Hasta 25 años podría pasar en prisión un antiguo empleado por manipular de forma remota los procesos de limpieza y desinfección de esta compañía de servicios. Con ello, puso en riesgo la seguridad del suministro a 1.500 clientes minoristas y a otros diez mayoristas del Estado de Kansas.
¿Qué se puede aprender?
Las organizaciones necesitan implementar procesos eficaces que impidan a exempleados acceder a la red de la organización, garantizando que solo entran usuarios autorizados y aumentando la seguridad de contraseñas. Mediante un programa de gestión de amenazas internas que supervise el movimiento de datos, se puede detectar antes y con más precisión cualquier actividad maliciosa.
Le Figaro: Convertirse en noticia por la escasa seguridad de un proveedor
¿Qué pasó?
La filtración accidental de 7.400 millones de archivos de este periódico francés se debió a la falta de una ciberhigiene adecuada de su empresa de alojamiento de datos.
¿Qué se puede aprender?
Cualquier proveedor necesita pasar evaluaciones de riesgo estrictas antes de custodiar información sobre usuarios. Los ataques pueden pasar de un simple robo de datos a otros más complejos con los sistemas internos como objetivo. Es fundamental asegurarse de la correcta configuración de bases de datos, además de contar con sistemas de supervisión y detección temprana de filtraciones.
Morrisons: Abuso de privilegios de acceso
¿Qué pasó?
Un auditor interno de estos supermercados de Reino Unido filtró datos de las nóminas de casi 100.000 empleados. Fue condenado por fraude y ocasionó pérdidas a la empresa por valor de 2 millones de libras.
¿Qué se puede aprender?
Las amenazas internas pueden acarrear responsabilidades significativas a las organizaciones. Una plataforma de detección de estos incidentes reduce las posibilidades de que un empleado filtre y exponga información sensible, sobre todo, si tienen privilegios de acceso de los que puede abusar.
Vertafore: Falta de formación acerca de cómo almacenar datos
¿Qué pasó?
Por descuido, los empleados de esta empresa fabricante de software para aseguradoras filtraron datos de casi 28 millones de conductores en Texas (EE UU) al almacenarnos de forma poco segura.
¿Qué se puede aprender?
La formación de los empleados sobre los procesos y protocolos de ciberseguridad adecuados es fundamental para cualquier organización. También conviene contar con un sólido programa frente a amenazas internas que garantice la prevención de la pérdida de datos.
Stradis: Sabotaje en medio de la crisis pandémica
¿Qué pasó?
El exvicepresidente financiero de esta organización sanitaria en EE UU borró o modificó más de 115.000 registros de datos a modo de venganza, paralizando el envío de equipos de protección individual (EPI) en los primeros días de lucha contra la Covid-19.
¿Qué se puede aprender?
Si se crean cuentas falsas o se manipula información puede ser un indicativo clave de amenaza interna, lo cual deberá ser detectado por el software de seguridad y revisado internamente a la mayor brevedad posible. Aquellos empleados con episodios disciplinarios o con mayores privilegios deben ser considerados de alto riesgo y, por tanto, ser supervisados con especial precaución.