> REDES DE SIGUIENTE GENERACIÓN (NGN) <
Ataques Insider en Redes Corporativas
Mauricio Tobar, Pablo Pazmiño, Stalin Saltos
 amenazas la organización usualmente utiliza mecanismos y
Resumen— En este artículo se describe las características y
tipos de ataques internos que se pueden presentar en una
organización, los mismos que pueden afectar la seguridad de los
sistemas informáticos. Generalmente estos ataques son accidentes
por desconocimiento o inexistencia de las normas básicas de
seguridad; pero también pueden ser del tipo intencional. Debido a
que las amenazas internas pasan por alto para los miembros
encargados de la seguridad informática de una organización, estás
vuelven más vulnerable al sistema, por lo que es necesario reforzar
la seguridad tanto en relación al personal interno (“insiders”)
como con los usuarios externos del sistema informático
(“outsiders”).
Index Terms—Ataque, informática, insiders, organización,
empleados.
I. INTRODUCCIÓN
E N, estos últimos años el avance acelerado de la tecnología
y los sistemas de telecomunicación han provocado que los
sistemas de información y la información misma de las
empresas u organizaciones, sean cada vez más vulnerables y
estén más expuestos a ser utilizados de manera no adecuada por
personas impulsadas por retos, dinero y hasta venganza en
contra de la empresa. Inicialmente se tenía la creencia de que
las amenazas o ataques a la información y sistemas de
información mismo se daban únicamente desde fuera de la
organización, sin embargo, un estudio publicado en 2005 por
PricewaterhouseCoopers y CIO, “The Global State of
Information Security 2005,” reveló que el 33 % de los ataques
contra la seguridad de la información fueron perpetrados por
empleados internos, mientras que el 28 % procedían de antiguos
empleados y socios. Dar más importancia a las amenazas
externas que a los peligros internos es un error, y puede
acrecentar sobremanera la vulnerabilidad de las defensas de una
organización, por este motivo, conviene reforzar la seguridad
tanto en relación con el personal interno (“insiders”) como con
los usuarios externos del sistema informático (“outsiders”).
[1][3]
II. FACTOR INSIDERS
La seguridad de los sistemas de información de una
organización se puede ver afectada por dos tipos de amenazas
o ataques, internos y externos. Una amenaza externa es la que
se genera comúnmente fuera de la organización y utiliza
internet como medio para acceder a los sistemas de información
de la organización aprovechándose de alguna debilidad que
tengan en sus sistemas de seguridad. Para contrarrestar estas
1
tecnologías ampliamente desarrolladas que detectan, corrigen y
mejoran la seguridad de la información de las organizaciones
(Firewall, IDS, Antivirus).
Varios estudios han demostrado que la mayoría de las
violaciones de seguridad son cometidos por el Factor Insiders,
es decir, por los mismos empleados desde dentro de la
Institución u Organización. Una de las formas más eficaces que
posee un atacante para romper los esquemas de seguridad, es
desde el interior de la organización.
Por ejemplo, el atacante podría conseguir un empleo en la
organización que desea atacar y obtener el suficiente nivel de
confianza en la organización para luego explotar los puntos de
acceso. Del mismo modo, cualquier integrante puede
convertirse en un empleado disgustado y decidir robar
información y/o causar daños como una forma de venganza.
Cuando este tipo de actos es cometido con intenciones de
obtener beneficios económicos a través de información
corporativa, es denominado Insiders Trading (comercio de
personal interno).
En cualquiera de los casos, muchas de las herramientas y
medidas de seguridad que se implementen en el entorno
informático no serán eficaces. Bajo esta perspectiva, es
necesario acudir a estrategias de defensa internas y específicas
para el control de posibles ataques ocasionados por el personal
de la organización. Estas estrategias defensivas funcionarán
como contramedidas.
Una de las mejores soluciones es realizar auditorias
continuas que incluyan monitoreos a través de programas
keyloggers que pueden ser por hardware o por software,
mecanismos que impidan la instalación de programas por parte
del personal, estricta configuración del principio de privilegios
mínimos, deshabilitación de puertos USB y prohibición del uso
de dispositivos de almacenamiento extraíbles para evitar la fuga
de información y entrada de otras amenazas como malware, si
las computadoras forman parte de un dominio es necesario
establecer políticas rigurosas en el Active Directory, entre otras.
[2]
A. Características de los ataques Insider
Un ataque interno en sí mismo es un término que abarca
muchos tipos de acciones maliciosas, desde un robo de datos
completamente intencional o fraude cometido con fines de
lucro, hasta el sabotaje, espionaje industrial, incluso a errores
no intencionados o inadvertidos. Teniendo estas acciones en
común el hecho de que todos ellos están comprometidos por
empleados con acceso legítimo al funcionamiento interno de la
empresa. A menudo dichos empleados son gerentes, operadores
de bases de datos, programadores o especialista, que trabajan
> REDES DE SIGUIENTE GENERACIÓN (NGN) <
con datos sensibles, infraestructura o configuraciones crítica de
sistemas. La motivación de estas acciones, realizadas por
empleados descontentos o por amenazas internas, puede ser:
➢ Espionaje corporativo. - Los empleados pueden ser
reclutados por la competencia a través de chantaje o
soborno para transferir datos sensibles. Los casos de
espionaje corporativo pueden ser muy difíciles de
detectar. Si el empleado hace muchos viajes
inesperados o de repente se tiene una afluencia de
dinero, pueden ser acciones alarmantes.
➢ Ganancia financiera personal. - El empleado puede
robar una base de datos de clientes para venderla en
un mercado negro o comenzar un negocio
competitivo. En este caso, a menudo se jacta ante
sus colegas de ello, lo que puede ayudar a prevenir
o detectar el ataque.
➢ Venganza por injusticia. - Los empleados
descontentos pueden llevar a cabo acciones
maliciosas para devolver a la empresa la injusticia
percibida por ellos. Las acciones maliciosas de
venganza a menudo están diseñadas para generar
tanto daño a la empresa como sea posible e
interrumpir los procedimientos de negocio.
➢ Distracción. - Una amenaza interna puede
originarse como distracción para realizar otras
acciones maliciosas y evitar que el objetivo
principal de la operación sea desvelado.
➢ Errores no intencionados. - En muchos casos, una
fuga de información resulta ser un simple error por
parte de un empleado, ya sea por hacer un clic en un
enlace de correo electrónico sospechoso, decirle la
contraseña a un colega, o enviar datos
confidenciales a la persona equivocada. La
posibilidad de tales amenazas involuntarias debe
tenerse en cuenta y su prevención debe incluirse
como parte de una estrategia general de prevención
de ataques insider en la empresa.
Tratar eficazmente con esta variedad de amenazas dentro de
la organización es un proceso complejo y difícil que requiere
un compromiso y esfuerzo importante dentro de las empresas.
Una gestión de amenazas internas adecuada dará algunos
resultados, pero para prevenir y detectar verdaderamente las
amenazas internas, es necesario un enfoque de gestión de
empleados diseñada de una manera específica. [4]
B. Tipos de amenazas Insiders
Con el fin de crear una seguridad realmente eficaz, primero es
necesario comprender la naturaleza de una amenaza insider y
los distintos tipos de ataques que existen. Las amenazas internas
de seguridad de la información provienen de personal interno
que normalmente se definen como personas que tienen acceso
legítimo a información restringida o confidencial o a
infraestructura crítica de la empresa. Hay tres grupos
principales que se pueden clasificar como insiders:
➢ Empleados. - Son el primer grupo que nos viene a la
mente, los empleados actuales tienen acceso inmediato
y legítimo a todos o la gran mayoría de los datos
2
sensibles. El mayor peligro entre los empleados de la
empresa, se plantea con los usuarios con cuentas
privilegiadas. Estos usuarios tienen un nivel más alto
de acceso y usualmente disfrutan de un alto nivel de
confianza en la compañía, poniéndolos en la mejor
posición para cometer acciones maliciosas.
➢ Terceros. - Las empresas modernas y mas
concretamente las del sector tecnológico, suelen estar
afiliadas con una amplia gama de diferentes personas
y organizaciones. Subcontratas, proveedores de
servicios y socios comerciales tienen acceso a la red
corporativa y a datos confidenciales que podrían
utilizar para llevar a cabo ataques maliciosos.
➢ Exempleados. - Mientras que técnicamente pierden su
acceso legítimo al terminar el contrato, no todas las
empresas se molestan en eliminar adecuadamente las
credenciales inactivas. Si un exempleado descubre que
sus credenciales siguen funcionando, puede usarlas
para llevar a cabo acciones maliciosas. Otro peligro
potencial es una puerta trasera o una bomba lógica
(software malicioso que se apaga automáticamente
después de un período de tiempo establecido) que el
antiguo empleado puede dejar atrás para poder acceder
al sistema o sabotear las operaciones comerciales,
mucho después de que se vaya.
C. Detección y Protección Frente a estas amenazas
Dada la naturaleza de estas amenazas, su detección es
bastante compleja ya que pocas veces las empresas pueden
imaginarse un ataque originado desde el interior de sus
sistemas. En muchos sitios el uso de vigilancia con cámaras
tampoco está permitido. Entonces, ¿podríamos anticiparnos a
un ataque de este tipo o protegernos frente al mismo? La
respuesta es que no podemos protegernos al cien por cien, pero
sí podemos poner medidas para evitarlos. En base a controles
que pueden encontrarse en normas como la ISO 27001, se han
clasificado los siguientes consejos o buenas prácticas a realizar
para detectar y proteger una empresa de un posible ataque
“insider”. [3]
Detección
➢ Uso de software para la detección de anomalías en la
red. - Monitorizar a los usuarios no es una buena
práctica, pero la monitorización de la red en la que se
encuentran permite detectar los intentos de conexión
sospechosos.
➢ Encuestas de satisfacción. - La realización de este tipo
de encuestas puede ayudar a detectar empleados que
no están contentos dentro de la empresa, permitiendo
mejorar su situación o al menos hablar con ellos sobre
el problema que tengan.
➢ Inventario de activos. - Un inventario de activos
actualizado proporciona un mayor control sobre los
activos pertenecientes a la empresa y permite detectar
de forma rápida robos o desapariciones.
Protección
➢ Uso de antivirus y listas blancas. - Con el uso de estas
medidas podremos evitar la ejecución de malware y la
> REDES DE SIGUIENTE GENERACIÓN (NGN) < 3

instalación de programas que no deberían estar content/uploads/2014/08/Ponencia_-

_Tipos_de_ataques_y_de_intrusos_en_las_redes_informaticas.pdf
presentes en determinados dispositivos.
[2] Ruben Ramiro, “Vulnerabilidades y Ataques Informáticos – Como
➢ Gestión de roles y usuarios. - El control de usuarios es prevenir los ataques Insiders”, 2017. Disponible en:
muy importante ya que, si una persona es despedida, https://ciberseguridad.blog/como-prevenir-los-ataque-insiders/
la baja de su perfil dentro de la empresa evitará el [3] Ataques Informáticos, “Debilidades de seguridad Comúnmente
Explotadas”. Disponible en:
acceso a los sistemas. Del mismo modo, una buena
https://www.evilfingers.com/publications/white_AR/01_Ataques_infor
gestión de roles evita que los usuarios tengan acceso a maticos.pdf
ciertas partes del sistema y que no puedan realizar todo [4] Insiders – Outsiders. Disponible en:
tipo de acciones sin control alguno. En esta parte se https://www.bebee.com/producer/@fran-brizzolis/insiders-outsiders-los-
peores-ataques-suelen-venir-desde-dentro-o-bien-desde-fuera-
podría aplicar el principio del mínimo privilegio por el
vinculados-a-personas-de-nuestra-confianza-pero-casi-siempre-vendran-
cual se dotaría a los empleados sólo de los privilegios cuando-y-desde-donde-y-quien-menos-te-lo-esperes
básicos que necesitan para desempeñar sus tareas
dependiendo de su cargo dentro de la empresa y de sus
responsabilidades.
➢ Cortafuegos y proxy de navegación. - Para evitar IV. AUTORES
conexiones anómalas originadas internamente hacía el
exterior (navegaciones por Internet fuera de lo normal, Mauricio Tobar, Pablo Pazmiño, Stalin Saltos, Estudiantes de la Escuela de
Ingeniería Electrónica en Telecomunicaciones y Redes, ESPOCH.
uso de puertos no permitidos, etc.), el uso de
cortafuegos con filtros de navegación o proxy (proxy
inverso) ayudará a que los empleados no puedan
realizar ciertas acciones.
➢ Uso de DLP (Data Leak/Loss Prevention) y UAM
(User Activity Monitoring). - Para evitar la pérdida de
datos y las actividades de acceso a sitios no permitidos
por parte de algún usuario a través de un proxy de
navegación. Al igual que en el punto anterior, estas
medidas servirán como protección frente a actividades
anómalas e intentos para filtrar datos. [4]

III. CONCLUSIÓN
➢ En el presente trabajo destacamos que la mayoría de
las violaciones de seguridad son cometidos por el
Factor Insiders, es decir por los mismos empleados
desde dentro de la Organización, para ello se establece
políticas esencialmente de detección y protección que
reducirá significativamente las vulnerabilidades a las
que estaban expuestos los recursos informáticos
➢ Reconocer que la implementación de un sistema de
gestión es compleja y tendrá limitaciones económicas
para ello es necesario masificar las técnicas y equipos
de seguridad conforme a la evolución de la tecnología
y al crecimiento de la empresa.
➢ Enfatizar lo importante que es la concientización con
sentido de pertenencia a todo el personal que labora en
la identidad haciéndole sentir como el elemento activo
en función de la jerarquización organizacional de la
empresa, que opera sobre el tipo de infraestructura de
seguridad informática apegadas a las normas ISO
27001 esencialmente.
➢ Exaltar que la implementación de un sistema de
gestión para dar seguridad a una organización
representa una inversión considerable para directivos
y accionistas con el firme propósito de ser una empresa
líder y eficiente.

BIBLIOGRAFÍA
[1] Alvaro Gómez Vietes, “Tipos de Ataques e Intrusos en las redes
informáticas”. Disponible en: http://www.edisa.com/wp-