Cabecera blog ciberseguridad

Teletrabajo e Insider Threats. Nuevas oportunidades para un viejo conocido

insider threat

Julián es miembro del departamento de ventas en una empresa de componentes de automoción y tiene relaciones con distribuidores y proveedores del sector. En el pasado ha cedido en ocasiones a propuestas de alguno de estos proveedores para ajustar precios y pedidos a cambio de alguna contra partida económica de la que él se beneficiaba personalmente. Esto no era muy arriesgado y se podía enmascarar sin demasiados problemas con los procesos y en la operativa habituales de su departamento. Así Julián obtenía unos ingresos extra a los que ya se ha acostumbrado.

Llegó la crisis sanitaria del coronavirus y comenzó a teletrabajar. Su compañía ha comunicado que esta situación se va a dilatar en el tiempo, tanto de manera intermitente como prolongada, según períodos y circunstancias. Aunque por ahora parece que no le afectarán los despidos y regulaciones de empleo que ha anunciado su empresa, la mujer de Julián ha perdido su puesto en la gestoría dónde trabajaba y la familia ha perdido ingresos. Julián necesita ganar ahora más dinero y ha hablado con los proveedores y distribuidores con los que colaboraba. Le comentan que están a la espera de la recuperación de los mercados para volver a los anteriores niveles de actividad y para seguir con la colaboración que mantenían con él.

En esta situación de dificultades económicas para todos, a Julián también se le ha ocurrido que alguno de los competidores directos de su empresa podría tener interés en colaborar con él, dado que tiene acceso a bastante información sobre precios, márgenes, estrategias e incluso planes y proyectos de su compañía. Trabajando desde casa, razona Julián, todo debería resultar incluso más fácil de como lo era antes.

amenaza teletrabajo

Teletrabajo y resiliencia de los negocios: Transformación Digital y Ciberseguridad

La pandemia del coronavirus ha obligado a empresas y organizaciones a poner en funcionamiento de manera acelerada unos regímenes laborales para sus empleados en los que el teletrabajo ha ocupado un espacio que era muy poco imaginable a comienzos de este año 2020. Algunas compañías han generalizado para toda su plantilla una forma de trabajar que podía ser más o menos ocasional y parecía estar diseñada principalmente para ayudar a la conciliación de la vida personal con la profesional. Otras han aprendido a teletrabajar de manera improvisada al comenzar esta crisis y también han existido las que han tenido que cerrar durante un tiempo (¡o para siempre!) al ser incapaces de adaptarse para desarrollar su actividad sin tener que acudir necesariamente al puesto de trabajo cotidiano.

El teletrabajo se ha convertido así, por la vía de los hechos, en un factor selectivo que de forma clara muestra la competitividad de una empresa y su capacidad de sobrevivir y generar negocio, sobre todo en entornos complicados que requieren de respuestas rápidas y flexibles.

Esta mayor o menor adaptación a la modalidad laboral del teletrabajo es un factor o parámetro adecuado con el que medir la solidez de una organización y su resistencia a la incertidumbre. Un caso más que pone de manifiesto el valor que la Transformación Digital aporta al negocio o, si se prefiere, que ilustra la imposibilidad de supervivencia del negocio si no se acomete esta Transformación Digital.

Con el teletrabajo ya implantado, las empresas han de ajustar sus planes de ciberseguridad a este nuevo entorno más disperso y variable, en el que además aparecen nuevas oportunidades y posibilidades de actuación para los actores hostiles de siempre. Las cifras de fraude digital, phishing y otras amenazas no han disminuido con la implantación más intensiva del teletrabajo. Además, conviene prestar atención también a lo que están haciendo o pueden hacer otros actores que no se catalogan dentro de las categorías de cibercrimen, hacktivismo o atacantes tradicionales y que son muy dañinos para una empresa u organización. Por ejemplo, la categoría Insider Threat.

insider threat teletrabajando

El “Insider” no se ha ido; está teletrabajando.

La amenaza del “Insider” no va a desaparecer en época de teletrabajo. Lo normal y previsible es que un “Insider” que haya estado actuando en su organización de manera “presencial”, trabajando en las instalaciones corporativas de su empresa, continúe operando como tal, tanto si teletrabaja de manera intermitente como si lo hace de forma prolongada durante largos períodos de tiempo.

Las circunstancias laborales pueden haber cambiado, pero se mantienen la motivación o voluntad del “Insider” para actuar como tal y también sus capacidades para poder hacerlo con éxito hasta que sea detectado. ¿Qué es lo que cambia el teletrabajo?, ¿va a perder ahora el “Insider” la razón que le llevaba a actuar como tal en su oficina por tener que hacerlo ahora desde su domicilio? Muy probablemente la respuesta será que no, que eso no cambiará y que además el negativo escenario económico derivado de la pandemia del coronavirus agudizará aspectos tales como la motivación económica personal del “Insider” o su propensión a actuar bajo patrocinio de un actor externo, con toda seguridad competidor de la organización en la que él trabaja.

Por tanto, los factores de voluntad y capacidad de actuar del “Insider” no parece que vayan a desaparecer y, por el contrario, una implantación más intensiva del teletrabajo conllevará otras opciones de actuar adaptándose al nuevo entorno, en el que el “Insider” podrá aprovechar las oportunidades que se le ofrecen al trabajar desde casa. Es decir, “fuera de la oficina, …, pero con acceso a ella”. Este tipo de oportunidades nuevas tienen mucho en común con aquellas de las que también se vale el empleado desleal que trabaja temporalmente desplazado o expatriado. En ambos casos, y de no mediar una adecuada adaptación de los planes de ciberseguridad, las organizaciones quedarán más expuestas y vulnerables a amenazas internas en estos escenarios.

Los desafíos del teletrabajo

También los Planes Corporativos de Insider Threat deberán actualizarse teniendo más en cuenta la realidad del teletrabajo y con ellos las Tácticas, Técnicas y Procedimientos (TTPs) de Ciberinteligencia en base a las cuales fueron diseñados. Como regla general, estas TTPs deberán prestar aún más atención al factor humano de la amenaza, sin olvidar su componente digital y trabajando mucho con una serie de indicios que el “Insider” va a dejar de su actividad y que serán fundamentalmente detectables en base al empleo de herramientas especializadas como el estudio de redes sociales (SOCMINT) o las interactuaciones basadas en el uso de Virtual HUMINT, además de otras de tipo técnico.

¿Qué tipo de acciones hostiles puede hacer un “Insider” cuando está teletrabajando? ¿Pueden detectar estas acciones las medidas clásicas de seguridad implantadas por una organización? Señalemos algunos ejemplos:

  • Fuera de la oficina, el “Insider” facilita el acceso físico a su equipo a personas ajenas a su empresa (por ejemplo, a un competidor que le patrocina).
  • De forma presencial (por ejemplo, en el domicilio del “Insider”) un actor hostil con elevadas capacidades digitales utiliza los dispositivos del “Insider” por cesión de este.
  • Bajo encargo o petición, el “Insider” obtiene “pantallazos” concretos en sus sesiones de trabajo (fotografiados con su dispositivo móvil, por ejemplo).
  • El “Insider” dispone de una mayor libertad de horarios para copiar (por ejemplo, en un dispositivo distinto al corporativo o bien anotando en formato papel) datos e informaciones que precise o le hayan sido solicitadas para una entrega posterior a su patrocinador.
  • El “Insider” puede dejarse suplantar (passwords, accesos, etc.).
  • El “Insider” puede camuflar sus acciones hostiles simulando incidentes digitales o incidencias en equipos, aprovechando que el soporte corporativo IT de su empresa actúa en remoto.
  • Con el mismo fin, puede asimismo simular errores inexistentes en redes, router, VPN, etc.
  • El “Insider” puede grabar videoconferencias en las que se traten asuntos de interés para sus objetivos.
  • En modalidad teletrabajo, al “Insider” le resulta muy sencillo traspasar información y activos digitales de equipos corporativos a otros particulares o de terceros.
  • Igualmente, la copia de activos digitales a unidades tipo USB u otras, resulta más sencillo en modalidad teletrabajo que de forma presencial. Las circunstancias extraordinarias del teletrabajo pueden también “justificar” este tipo de prácticas que de manera habitual no están permitidas en el trabajo presencial.

¿Cómo ayuda a la detección de Insider Threat el uso de capacidades propias de la ciberinteligencia? La clave es enfocar el esfuerzo de las investigaciones en el factor humano de la amenaza, integrando dichas tareas y trabajos de investigación con el estudio del comportamiento digital del “Insider”, analizando parámetros tales como sus horas de conexión, patrones de estas conexiones y comparativas de los datos obtenidos con aquellos que eran habituales en la modalidad habitual de trabajo presencial.

Se trata además de buscar el error humano en el comportamiento del “Insider”. Este error humano existe siempre y se hace más detectable a medida que pasa el tiempo y el “Insider” tiende a relajarse porque no es detectado. La modalidad de teletrabajo aporta además una añadida sensación subjetiva de impunidad y anonimato a la hora de llevar a cabo sus acciones.

En su proceso constante de mejora de la ciberseguridad, las organizaciones deben diseñar e implantar también procedimientos internos adaptados específicamente al teletrabajo de sus plantillas, en la idea de que esta va a ser una modalidad laboral que, cada vez más, operará de forma permanente o intermitente pero desarrollada de manera dilatada en el tiempo. Además de los planes de Ciberseguridad, se deberán actualizar también los planes corporativos de Insider Threat.

Descubre nuestro trabajo y nuestros servicios de ciberinteligencia en www.tarlogic.com