Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Insider, las dos caras del empleado

Fecha de publicación 11/04/2017
Autor
INCIBE (INCIBE)
Insider, las dos caras del empleado

Un gran error que cometen muchas empresas es asegurar su perímetro con el pensamiento de que los ataques se originarán siempre de forma a externa a su red. Pero existe la posibilidad de que ataques intencionados o no intencionados se produzcan por diversas situaciones desde el interior de la propia empresa. En este ámbito es importante diferenciar entre “insider” y amenazas internas.

Un “insider” es una persona que posee gran conocimiento de una empresa porque trabaja o trabajó en ella, y que por su situación actual en relación a la empresa, busca cierta venganza. Esta persona es capaz de realizar acciones como el cambio de credenciales importantes, un uso inadecuado de dispositivos, etc.

Por otro lado, cuando nos referimos a una amenaza interna estamos hablando de un compromiso de credenciales y sistemas por parte de una entidad externa. En este caso, un empleado que no pertenece a nuestra empresa, pero que tiene acceso a la misma por algún motivo, un empleado de una subcontrata, personal que realiza los mantenimientos, etc.; ejecuta acciones que podrían perjudicarnos, como la introducción de malware dentro de la red, cambio de credenciales sin los permisos pertinentes, etc.

La motivación de estas acciones realizadas por empleados descontentos o por amenazas internas puede ser:

  • Dinero: El atacante está motivado por la posibilidad de obtener una suma de dinero por las acciones que va a realizar.
  • Espionaje industrial: Puede darse el caso de que las acciones realizadas estén motivadas por otra empresa de la competencia para obtener información privilegiada de sus procesos.
  • Venganza: En este caso, el descontento suele ser la mayor motivación. Un despido en el que las 2 partes no están de acuerdo o problemas con los compañeros de trabajo, pueden motivar a que un exempleado realice acciones perjudiciales para la empresa de la que ha sido despedido. El exempleado no busca ganancias económicas ni favorecer a otras empresas, simplemente quiere que las cosas dejen de ir bien para la empresa que le ha despedido.
  • Distracción: Una amenaza interna puede originarse como distracción para realizar otras acciones maliciosas y evitar que el objetivo principal de la operación sea desvelado.
  • Desconocimiento. Puede darse el caso de que un empleado deje públicos unos servicios que no deberían serlo o realice acciones sin conocer a fondo sus efectos.

dos caras

Detección y protección frente a estas amenazas

Dada la naturaleza de estas amenazas, su detección es bastante compleja ya que pocas veces las empresas pueden imaginarse un ataque originado desde el interior de sus sistemas. En muchos sitios el uso de vigilancia con cámaras tampoco está permitido. Entonces, ¿podríamos anticiparnos a un ataque de este tipo o protegernos frente al mismo? La respuesta es que no podemos protegernos al cien por cien, pero sí podemos poner medidas para evitarlos. En base a controles que pueden encontrarse en normas como la ISO 27001, se han clasificado los siguientes consejos o buenas prácticas a realizar para detectar y proteger nuestra empresa de un posible “insider”.

Detección

  • Uso de software para la detección de anomalías en la red. Monitorizar a los usuarios no es una buena práctica, pero la monitorización de la red en la que se encuentran permite detectar los intentos de conexión sospechosos.
  • Encuestas de satisfacción. La realización de este tipo de encuestas puede ayudar a detectar empleados que no están contentos dentro de la empresa, permitiendo mejorar su situación o al menos hablar con ellos sobre el problema que tengan.
  • Inventario de activos. Un inventario de activos actualizado proporciona un mayor control sobre los activos pertenecientes a la empresa y permite detectar de forma rápida robos o desapariciones.

Protección

  • Uso de antivirus y listas blancas. Con el uso de estas medidas podremos evitar la ejecución de malware y la instalación de programas que no deberían estar presentes en determinados dispositivos.
  • Gestión de roles y usuarios. El control de usuarios es muy importantes ya que si una persona es despedida, la baja de su perfil dentro de la empresa evitará el acceso a los sistemas. Del mismo modo, una buena gestión de roles evita que los usuarios tengan acceso a ciertas partes del sistema y que no puedan realizar todo tipo de acciones sin control alguno. En esta parte se podría aplicar el principio del mínimo privilegio por el cual se dotaría a los empleados sólo de los privilegios básicos que necesitan para desempeñar sus tareas dependiendo de su cargo dentro de la empresa y de sus responsabilidades.
  • Cortafuegos y proxy de navegación. Para evitar conexiones anómalas originadas internamente hacía el exterior (navegaciones por Internet fuera de lo normal, uso de puertos no permitidos, etc.), el uso de cortafuegos con filtros de navegación o proxy (proxy inverso) ayudará a que los empleados no puedan realizar ciertas acciones.
  • Uso de DLP (Data Leak/Loss Prevention) y UAM (User Activity Monitoring). Para evitar la pérdida de datos y las actividades de acceso a sitios no permitidos por parte de algún usuario a través de un proxy de navegación. Al igual que en el punto anterior, estas medidas servirán como protección frente a actividades anómalas e intentos para filtrar datos.

Casos Reales

Uno de los casos más conocidos sobre empleados descontentos es el sucedido en la planta de tratamiento de aguas de Maroochy, en Australia. En este caso, el empleado descontento utilizó un ordenador portátil provisto con un software de control adecuado y un módem de radio. La forma de acceder al sistema consistía en conectar el ordenador al sistema de estación de bombeo tratando de no ser detectado. El resultado de estas intrusiones fueron litros y litros de aguas residuales vertidas en ríos y parques, además de la pérdida de imagen de la empresa encargada de gestionar el alcantarillado. El empleado fue condenado a 2 años de cárcel por el acceso ilegal al sistema de control de alcantarillado del Condado, práctica que realizaba por el descontento que tenía tras ser despedido de la empresa para la que trabajaba.

Lecciones aprendidas

Un inventario de activos actualizado con la información relevante de los dispositivos en uso, la eliminación de usuarios del sistema cuando la relación contractual cesa, una revisión de permisos al realizar un cambio de departamento y un control de las comunicaciones vía radio serían algunas medidas que podrían haber evitado este problema en la planta de tratamiento de aguas de Maroochy.

Otro caso, esta vez más reciente (Febrero 2017), fue el ocurrido en la fábrica de papel “Georgia Pacific paper” de Louisiana, donde un empleado fue condenado a 34 meses de cárcel por manipular el sistema informático de la empresa tras ser despedido, causando pérdidas por valor de 1,1 millones de dólares al provocar múltiples fallos en el sistema y originando latencias en la producción. El exempleado tenía un amplio conocimiento de los sistemas presentes en la planta de producción y trabajó alrededor de 15 años escribiendo código para las máquinas que fabricaban el papel. Aunque la pérdida de dinero fue cuantiosa, podía haber sido peor: el empleado podía haber manipulado el proceso de producción de papel, originando diferentes impactos como son un producto defectuoso, fallo de equipamiento o problemas medioambientales al verter material tóxico.

Lecciones aprendidas

Controlar las comunicaciones externas a los sistemas de la empresa mediante el uso de cortafuegos y la configuración de VPN asociadas a cada empleado para tener un control de quién se conecta al sistema. Sumado a esto, la eliminación de las cuentas de usuario cuando finaliza el contrato o al realizar un cambio de departamento hubiesen sido medidas suficientes para evitar el ataque. En este caso, el cambio de credenciales periódico en los dispositivos no hubiese podido mitigar el ataque puesto que se realizó inmediatamente tras ser despedido y no al cabo de un tiempo.