Protegiéndose de sus propios usuarios

La amenaza común en la mayoría de los ataques cibernéticos que han ocurrido en diferentes compañías son  perpetrados directa o indirectamente por alguien de “adentro” de la organización. 

Foto: EFE
Foto: EFE

La amenaza común en la mayoría de los ataques cibernéticos que han ocurrido en diferentes compañías son  perpetrados directa o indirectamente por alguien de “adentro” de la organización. 

Existe una amenaza común en la mayoría de los ataques cibernéticos que han ocurrido en diferentes compañías los últimos dos años: éstos fueron perpetrados directa o indirectamente por alguien de “adentro” de la organización. Mientras la seguridad de la red y sistemas aún se enfoca en proteger amenazas externas, la realidad es que usuarios privilegiados dentro de la red también son una amenaza real. Durante una charla llamada “¿Están sus usuarios privilegiados en peligro o son un peligro?”, en donde de discutieron los riesgos asociados a los usuarios privilegiados y el acceso a la red, muchas veces la respuesta fue “sí” o “ambas”. Dos de las más grandes violaciones de datos que han ocurrido en los años recientes fueron hechas desde adentro de las organizaciones. Usuarios con acceso autorizado a información confidencial intencionalmente abusaron de la confianza y pusieron en riesgo los datos a los que tenían acceso.

De la misma forma, también han ocurrido violaciones a la información desde afuera, perpetradas con facilidad por utilizar ilegalmente las credenciales de usuarios autorizados. Una vez el atacante adquiere el nombre de usuario y la contraseña de una persona con acceso a datos importantes, puede acceder a la información como si fuera el mismo usuario, y por esta razón no hay mucha diferencia entre un atacante de afuera o un “fraude interno”.

La solución es relativamente sencilla. Primero, hay que tener cuidado al conceder permiso a la información confidencial y sensible. Hay que asegurarse de que los privilegios sean otorgados solo si es estrictamente necesario. Lo segundo, ¡y más importante!: esté atento. No asuma que por el simple hecho de que la actividad en la red parezca venir de un usuario privilegiado, ésta es legítima. Se debe estar alerta ante cualquier actividad anormal, como por ejemplo usuarios accediendo a más información de lo usual o visitando áreas de la red que normalmente no visitan.

En conclusión, los usuarios autorizados también son una amenaza, así no tengan la intención. Los atacantes han determinado que es mucho más fácil utilizar ilegalmente las credenciales de un usuario autorizado que quebrar la seguridad desde afuera; por lo tanto, es necesario estar alerta y nunca bajar la guardia. Existe una amenaza común en la mayoría de los ataques cibernéticos que han ocurrido en diferentes compañías los últimos dos años: éstos fueron perpetrados directa o indirectamente por alguien de “adentro” de la organización. Mientras la seguridad de la red y sistemas aún se enfoca en proteger amenazas externas, la realidad es que usuarios privilegiados dentro de la red también son una amenaza real.

Durante una charla llamada “¿Están sus usuarios privilegiados en peligro o son un peligro?”, en donde de discutieron los riesgos asociados a los usuarios privilegiados y el acceso a la red, muchas veces la respuesta fue “sí” o “ambas”. Dos de las más grandes violaciones de datos que han ocurrido en los años recientes fueron hechas desde adentro de las organizaciones. Usuarios con acceso autorizado a información confidencial intencionalmente abusaron de la confianza y pusieron en riesgo los datos a los que tenían acceso.

De la misma forma, también han ocurrido violaciones a la información desde afuera, perpetradas con facilidad por utilizar ilegalmente las credenciales de usuarios autorizados. Una vez el atacante adquiere el nombre de usuario y la contraseña de una persona con acceso a datos importantes, puede acceder a la información como si fuera el mismo usuario, y por esta razón no hay mucha diferencia entre un atacante de afuera o un “fraude interno”.

La solución es relativamente sencilla. Primero, hay que tener cuidado al conceder permiso a la información confidencial y sensible. Hay que asegurarse de que los privilegios sean otorgados solo si es estrictamente necesario. Lo segundo, ¡y más importante!: esté atento. No asuma que por el simple hecho de que la actividad en la red parezca venir de un usuario privilegiado, ésta es legítima. Se debe estar alerta ante cualquier actividad anormal, como por ejemplo usuarios accediendo a más información de lo usual o visitando áreas de la red que normalmente no visitan.

En conclusión, los usuarios autorizados también son una amenaza, así no tengan la intención. Los atacantes han determinado que es mucho más fácil utilizar ilegalmente las credenciales de un usuario autorizado que quebrar la seguridad desde afuera; por lo tanto, es necesario estar alerta y nunca bajar la guardia.   Por: Por Marcos Nehme, Systems Engineer Manager para Latinoamérica y El Caribe de RSA