En el tercer trimestre de 2022, Kroll detectó un pico en el nivel de amenazas internas, que se situaron en el nivel más alto registrado hasta ahora y llegaron a representar un 35% de todos los incidentes de accesos no autorizados. Kroll también identificó ese trimestre numerosas infecciones de malware vía USB, lo que podría indicar que cada vez hay más factores externos que fomentan las amenazas internas, como un mercado laboral más fluido y las turbulencias económicas. Lea el informe completo.
Además, el informe señala los siguientes hallazgos:
- Un aumento del phishing o suplantación de identidad, especialmente a través de cuentas válidas, lo que podría estar relacionado con tendencias de malware como el aumento del robo de credenciales con URSA.
- Una disminución de los ataques de ransomware o secuestro de datos, pero con una actividad relevante de grupos como LockBit
- Un incremento del malware, impulsado por la proliferación de malware de robo de credenciales como Ursa, Vidar o Raccoon, entre otros
- Un aumento en los ataques contra servicios profesionales y empresas de fabricación
Laurie Iacono, Associate Managing Director del área Ciberriesgos de Kroll ha explicado: "El constante crecimiento de las amenazas internas es una tendencia preocupante para las compañías. Independientemente de empleados malintencionados, o simplemente descuidados, o corrompidos por ciberdelincuentes, el daño potencial, especialmente en lo relativo al robo de propiedad intelectual, puede ser considerable. El aumento de la inflación y el número de puestos de trabajo disponibles tras la pandemia se han convertido en motivos para que muchos busquen cambiar de trabajo. Esto se convierte en un contexto idóneo para una posible amenaza interna, ya que los empleados intentan conservar fuera del dispositivo de la empresa información sobre los proyectos en los que han trabajado o conservan los derechos de acceso o permisos de herramientas y aplicaciones que utilizaban previamente, mientras que los equipos de RRHH e IT tienen dificultades para mantenerse al día con la rotación de personal."
"Para contrarrestar las amenazas internas, las organizaciones deben prestar atención a los derechos de acceso que conceden al personal y tratar de mantener siempre un entorno de "mínimos privilegios". La monitorización de actividades sospechosas, como una descarga de datos especialmente grande o el uso de un dispositivo USB desconocido, es otra forma de detectar posibles riesgos para la seguridad. Sobre todo, unas instrucciones claras a los empleados sobre lo que está permitido y lo que no, combinadas con unos procesos de IT y RRHH rápidos y eficientes, que trabajen en armonía, es la mejor defensa para evitar que la amenaza interna se convierta en un caballo de Troya"
Según ha explicado, Juan Carlos Díaz García, Associate Managing Director del área de Ciberriesgos de Kroll en España: “Insider Threat es un tipo de ciberataque particularmente difícil de afrontar. La actividad de alguien con malas intenciones, que probablemente ya tiene acceso a los sistemas de información (datos sensibles o accesos privilegiados) normalmente no genera sospechas ni dispara alertas de ciberseguridad, ya que están más orientadas a identificar otro tipo de atacantes y/o el uso de herramientas específicas (explotación, elevación de privilegios, etc). Con las implicaciones que tendrá en España la segunda Directiva de Seguridad de la Información y Redes de la UE (NIS2) cuando se apruebe, el hecho de disponer de capacidades de monitorización y detección de actividad anómala es aún más importante. A menudo, el acceso indiscriminado a repositorios de información, las descargas sospechosas, o el uso de nubes no corporativas son la mejor manera de identificar a un insider con intenciones maliciosas. La detección precoz del incidente le dará a la compañía el mejor punto de partida para responder adecuadamente".