5 Estrategias para Mitigar Amenazas Internas en 2026

Las amenazas internas se originan en individuos dentro de una organización, como empleados (o exempleados), contratistas o socios comerciales, que tienen información interna sobre las prácticas de gestión de seguridad de la información y los eventos, los datos y los sistemas informáticos de la organización.

Según la CISA, una amenaza interna ocurre cuando una persona con acceso legítimo, de manera consciente o inconsciente, participa en actividades perjudiciales para los activos críticos del departamento: misión, recursos, personal, instalaciones, información, equipos, redes o sistemas. Estas amenazas pueden adoptar múltiples formas, como violencia, espionaje, sabotaje, robo y acciones relacionadas con delitos cibernéticos.

Tipos de amenazas internas

Las amenazas internas suelen categorizarse en dos grupos generales: actividades maliciosas y negligentes. Sin embargo, una evaluación de riesgos más detallada revela un espectro de amenazas, cada una con maneras específicas de manifestarse dentro de su organización.

Implementar un programa sólido para detectar amenazas internas, educar a los empleados y emplear herramientas avanzadas de detección son estrategias fundamentales para abordar estos desafíos de manera eficaz.  

Considere estas seis categorías distintas de posibles amenazas internas y explore los tipos de actividades de datos riesgosas que los equipos de seguridad deben vigilar:

• Empleados que abandonan la compañía: Las personas que dejan la empresa, ya sea por decisión propia o por despido, representan amenazas internas importantes. Estos empleados en proceso de salida pueden llevarse consigo materiales valiosos o propiedad intelectual para facilitar su contratación en otro lugar o, en casos más maliciosos, pueden filtrar información sensible como acto de venganza.
• Insiders descontentos: Este grupo está formado por empleados actuales que albergan resentimiento hacia la empresa. Movidos por sus quejas, pueden llevar a cabo actividades como modificar o borrar datos vitales, filtrar información confidencial o sensible, o cometer diversas formas de sabotaje.
• Empleados descuidados: Aunque muchas estrategias de prevención de amenazas internas se centran principalmente en los insiders maliciosos, los empleados que son negligentes en sus funciones a menudo representan un riesgo mayor. Sencillos descuidos, como no usar protección en los dispositivos o no automatizar los protocolos de seguridad, pueden poner en peligro a la organización.
• Evasores de políticas de seguridad: Al intentar eludir las políticas de seguridad que consideran inconvenientes, implementadas por las empresas modernas, algunos empleados idean atajos. Lamentablemente, estas acciones comprometen las medidas de seguridad existentes y aumentan el riesgo de sufrir brechas de datos.
• Cómplices involuntarios: Estos insiders, consciente o inconscientemente, operan bajo las órdenes de entidades externas. Pueden ser coaccionados para divulgar información mediante amenazas o sobornos, o engañados para compartir credenciales de acceso a través de tácticas de ingeniería social en redes sociales.
• Afiliados externos: Los insiders no siempre son empleados. Las personas vinculadas a socios de terceros, como proveedores, contratistas y vendedores, pueden representar amenazas sustanciales. Aunque no formen parte de la nómina de la empresa, estos actores externos –a quienes se les otorga cierto nivel de acceso– pueden ser tan peligrosos como los empleados internos con permisos similares. Detecte amenazas potenciales observando de cerca comportamientos sospechosos dentro de su red. Asegúrese de que sus sistemas de seguridad estén atentos y que cualquier actividad inusual o disruptiva desencadene una respuesta inmediata conforme a su estrategia de respuesta ante incidentes. Mantenga una supervisión estricta sobre el acceso remoto a la infraestructura de su organización.

Entre los comportamientos internos típicos a vigilar se encuentran el compartir datos sin autorización, descuidar procedimientos de protección de la información, errores en la configuración de los sistemas y la susceptibilidad a ataques de phishing o malware realizados por ciberdelincuentes. Aprovechar el análisis del comportamiento del usuario (UBA) y SIEM mejorará su capacidad para identificar de forma eficaz a los actores maliciosos.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

LinkedIn

Este campo es un campo de validación y debe quedar sin cambios.

Name*

First name Last name

Business email*

Este campo está oculto cuando se visualiza el formulario

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

El impacto

Las amenazas internas pueden provocar pérdidas financieras, consecuencias legales y daños reputacionales. El daño causado suele ser severo debido al acceso y conocimiento que poseen estos insiders. 

Considere este ejemplo reciente: Uno de nuestros empleados presentó una notificación de renuncia de 2 semanas a su equipo de liderazgo. Mientras el equipo se preparaba para la transición, el equipo de Operaciones de Seguridad (SOC) de Cyber Guards detectó un comportamiento inusual. El empleado saliente había comenzado a acceder a archivos de SharePoint con los que normalmente no interactuaba y descargaba ese contenido a un dispositivo que no era corporativo. 

Aún más inusual, el empleado empezó a descargar grandes volúmenes de datos a los que sí tenía acceso autorizado. Finalmente, el empleado empezó a enviar archivos y manuales a sus cuentas de correo electrónico personal, además de cargar datos de la empresa a un Google Drive personal. Cyber Guards alertó al equipo del cliente y trabajó con IT, Legal y Recursos Humanos para tomar medidas rápidas, lo que incluyó desactivar el acceso del usuario, borrar su equipo de trabajo, emitir notificaciones legales y despedir al empleado antes de la fecha de transición.

Cinco estrategias para mitigar y detectar amenazas internas

Mitigar las amenazas internas requiere un enfoque multifacético que combine tecnología, procesos y personas.

Implemente un programa de prevención de pérdida de datos

Un programa de prevención de pérdida de datos es un conjunto de procesos, políticas y controles de seguridad que ayudan a evitar que los datos sensibles sean divulgados, compartidos o accedidos por usuarios no autorizados. Este programa debe adaptarse a las necesidades específicas de su organización y debe abarcar los datos almacenados tanto en instalaciones propias como en la nube. Le ayudará a proteger los activos de datos más valiosos de su organización.

Aplicar controles de seguridad

Implementar controles de seguridad que eviten que los usuarios cometan errores es otra estrategia crítica para mitigar amenazas internas. Esta táctica incluye la gestión de identidad y gestión de acceso privilegiado, controles de acceso a los datos como controles de acceso basados en roles, prevención de configuraciones incorrectas y herramientas de ciberseguridad. Implemente políticas de seguridad para limitar el acceso a los datos según las responsabilidades laborales de cada empleado y restrinja el acceso a determinados sitios web.

Priorice la seguridad física dentro de su espacio de trabajo. Involucre a un equipo de seguridad competente dedicado a mantener sus protocolos de seguridad. Su función debe incluir la supervisión del acceso a zonas críticas de TI, como salas de servidores o áreas de racks de interruptores, asegurándose de que solo el personal autorizado ingrese. En los puntos de entrada, deben revisar los dispositivos de TI y registrar cualquier desviación del estándar de seguridad establecido. Recuerde a todas las personas desactivar las cámaras de sus teléfonos móviles mientras estén en las instalaciones. Asegúrese siempre de que las salas de servidores permanezcan cerradas con llave.

Monitorice su entorno digital para detectar pérdida de datos

Otra estrategia clave para la detección de amenazas internas es monitorizar su entorno digital para detectar pérdida de datos, lo que implica implementar un sistema integral de herramientas de monitorización que revise las actividades de los empleados e identifique comportamientos sospechosos. Este enfoque podría incluir la supervisión del acceso, descarga y carga de datos, así como las comunicaciones en línea. La monitorización de la actividad ayudará a su organización a identificar empleados que accidentalmente hagan públicos datos o que podrían estar planeando llevarse información de la organización en su salida.

Educar y capacitar a los empleados

Una amenaza interna no siempre es intencionadamente maliciosa. Los usuarios finales pueden compartir o filtrar información accidentalmente porque no están capacitados para acceder y compartir datos de manera adecuada. Además, los usuarios generalmente carecen de formación para detectar y reportar una posible amenaza. Al ofrecer sesiones regulares de capacitación para empleados, accionistas, socios, proveedores, pasantes, proveedores externos o contratistas, usted otorga a los usuarios finales los recursos necesarios para prevenir una ciberamenaza. La capacitación debe abordar los riesgos y la protección de la seguridad de los datos, autenticación, detección de intentos de phishing y políticas de manejo de datos, para asegurar que todos en la organización conozcan los riesgos y las medidas que pueden tomar para prevenirlos. 

En un incidente reciente, un empleado fue contactado por una persona conocida de su lista de contactos. El correo electrónico decía que la empresa estaba actualizando registros y necesitaba que nuestro empleado actualizara su información. Había un enlace a un sitio de SharePoint que parecía casi idéntico a la página habitual de inicio de sesión del empleado. El usuario introdujo sus credenciales, pero sabiamente se detuvo antes de ingresar su código de autenticación multifactor.

Se detuvo, se tomó el tiempo de inspeccionar la URL y la envió a IT para su verificación. ¡Resultó que la capacitación del empleado valió la pena! Reconoció correctamente que la URL era maliciosa y reportó el correo electrónico al equipo de IT. El empleado, además, se puso en contacto por teléfono con la persona que supuestamente le había enviado el correo, y descubrió que no había enviado ningún mensaje. Resultó que la cuenta de correo de ese contacto había sido comprometida.

Cree un plan de respuesta ante incidentes

La realidad de la ciberseguridad es que, incluso teniendo las mejores medidas preventivas y de detección, un incidente cibernético puede ocurrir. Por eso es fundamental contar con un plan para ayudar a minimizar el daño de un incidente y volver a las operaciones lo antes posible. Un plan de respuesta ante incidentes es un conjunto integral de pautas y procedimientos que su organización puede seguir durante un incidente cibernético. Las empresas suelen prepararse para los escenarios de "peor caso", como el ransomware, pero comúnmente pasan por alto el riesgo de las amenazas internas. El plan debe incluir pasos específicos para detectar, contener y mitigar el daño causado por una amenaza interna, ya sea intencional o accidental. Estos planes deben revisarse, ponerse a prueba y actualizarse regularmente para seguir siendo relevantes y efectivos.

Estudio de caso: Datos sensibles de clientes

En este estudio de caso real, una firma líder en ciberseguridad reconoció el potencial de amenazas internas debido al acceso de alto nivel que tenían a datos sensibles de clientes. Establecieron una línea base de actividad de red normal e implementaron controles de acceso estrictos, monitoreo en tiempo real y medidas para garantizar la seguridad psicológica, con el objetivo de detectar y disuadir amenazas internas.

El punto de inflexión se produjo cuando un analista senior comenzó a exportar datos a un almacenamiento externo no autorizado. El sistema de la empresa detectó la anomalía y activó una alerta. Se tomó acción inmediata, realizando un seguimiento discreto de las acciones del analista y una auditoría silenciosa de sus actividades recientes.

Se descubrió que el analista estaba ocasionando una brecha de manera inadvertida por el uso de dispositivos personales en el trabajo, lo cual era contrario a la política de la empresa. La organización resolvió el problema con mínima interrupción y utilizó el incidente como estudio de caso para reforzar sus protocolos y capacitaciones internas de seguridad, convirtiendo así una posible amenaza interna en una oportunidad para mejorar su postura de seguridad.

Integrando estrategias de mitigación de amenazas internas

Los indicadores de amenazas internas son fundamentales para que las organizaciones protejan sus activos y su reputación. Deben ser una prioridad en cualquier estrategia de ciberseguridad. Lograr un nivel óptimo de protección requiere que las empresas se mantengan alerta ante los riesgos emergentes en su organización y creen estrategias para reducirlos. Para profundizar su comprensión sobre cómo contrarrestar estas amenazas, explorar una variedad de libros de ciberseguridad puede proporcionar conocimientos básicos y estrategias avanzadas esenciales para la caja de herramientas de cualquier líder tecnológico.

Mantenerse por delante de estas amenazas requiere no solo conocimientos actualizados, sino también una comunidad de líderes informados que compartan ideas y estrategias. Hay muchos recursos de ciberseguridad destacados disponibles para seguir aprendiendo. Para CTOs y líderes tecnológicos que están en la vanguardia de la defensa cibernética, suscríbase a nuestro boletín para recibir asesoramiento experto y soluciones de vanguardia en ciberseguridad.