Si te preocupa la seguridad de los datos de tu empresa, deberías cuidarte de la presencia de los elofants en tu red. Yo mismo los he visto y, si la red de tu organización es estadísticamente normal, es probable que (estadísticamente) albergue al menos un ELOFANT, también conocido en inglés como: Employee Left Or Fired, Access Not Terminated (empleado que renunció o fue despedido, pero cuyo permiso de acceso no se dio de baja).
elofant: empleado que renunció o fue despedido, cuyo acceso no se dio de baja y quedó como "cuenta fantasma"
Aunque nadie quiere pensar mal de las personas que por algún motivo ya no forman parte de la organización (que podrían haber sido colegas y amigos), la dura realidad de la ciberseguridad y la naturaleza humana hacen que estas "cuentas fantasma" aún no dadas de baja puedan convertirse en una amenaza para la organización.
Para ser claros, ponen en riesgo la confidencialidad, integridad y disponibilidad de la seguridad del sistema informático corporativo.
Pero antes de seguir hablando de los riesgos y las medidas, quisiera compartir algunos datos para respaldar mis afirmaciones.
El enfoque del informe DBIR
Desde hace varios años, en los Estados Unidos, Verizon publica cada segundo trimestre del año su Informe de investigación sobre fuga de datos (o DBIR, por sus siglas en inglés). Es la recopilación más completa disponible actualmente de estadísticas de incidentes de seguridad y fugas de datos, con su análisis habitual a disposición del público general.
El conjunto de muestras de este año superó los 100.000 incidentes, más de 3.000 de los cuales eran fugas de datos confirmadas. Los temas destacados del informe de este año son los siguientes:
- La ganancia financiera vuelve a ser el motivo principal tras los ataques de personal interno
- El número de "ataques secundarios" (es decir, los perpetrados en una entidad para ayudar a concretar ataques en otra entidad) es cada vez mayor
- Son más las personas (no menos) que abren los correos electrónicos de phishing (la tasa de apertura fue de 23% a 30%)
- El phishing está ganando terreno en las dos categorías principales de amenazas: los ataques y el malware (un hallazgo ampliamente respaldado por el último informe de APWG)
- La detección de las infracciones está tardando mucho más: el tiempo que transcurre entre el momento de infección y el de detección aumentó 35% desde el informe DBIR del año pasado.
Si bien el público general probablemente no acostumbre leer el informe DBIR, quienes trabajamos en seguridad lo hacemos sin falta, e incluso lo leeríamos aunque no estuviera escrito con su típico sentido del humor. Sin embargo, ese sentido del humor es el que nos ayuda a asimilar otra dosis más de la evidencia de que el esfuerzo colectivo que se hace en el mundo entero para proteger los datos y los sistemas ante el acceso no autorizado se está quedando corto...
Para mencionar un ejemplo del estilo del informe, transcribo la observación que hace acerca de la categoría de infracciones denominada "Uso indebido causado por el personal interno y los privilegios de acceso". El DBIR señala que: "En general tiene que ver exclusivamente con TGYFBFTDHRA". Esta cadena de letras en mayúscula tiene una nota al pie donde explica su significado: "That guy you fired but forgot to disable his remote access". (Ese tipo al que despediste pero cuyo acceso remoto olvidaste deshabilitar).
Por más que se hayan ido felices de la empresa, a veces cambian su actitud
Y esto me dejó pensando en algunas cosas, entre las que se incluye una sigla más simple pero aún más inclusiva: estoy hablando de ELOFANT. ¿Por qué? Porque las personas que despediste de la empresa no son la única fuente de acceso remanente que debe preocuparte.
Aunque estoy al tanto de un montón de casos en los que un incidente de seguridad se remonta a un empleado despedido pero cuyo permiso de acceso no se llegó a eliminar, también hubo muchos casos en los que empleados que renunciaron por su cuenta luego utilizaron indebidamente su acceso a la empresa aún sin deshabilitar.
La realidad es que las circunstancias van cambiando y surgen nuevos motivos para llevar a cabo actos maliciosos. También puede ser que los contrate un competidor y luego los presione para robar secretos comerciales, las listas de precios o la base de datos confidencial de clientes. Por más que se hayan ido felices de la empresa, a veces luego cambian su actitud: quizá consideran que su indemnización no fue lo que en realidad merecían o los desilusiona su cobertura de atención médica posterior al despido.
Los elofants siguen siendo personal interno
Para aprender a manejar mejor esta amenaza en particular, los profesionales de seguridad pueden consultar los numerosos estudios de casos documentados por el Centro de Amenazas Internas del CERT (ver referencias más abajo). Este Centro ha estado documentando cientos de delitos informáticos perpetrados por personal interno que afectaron a empresas de diversos sectores, como bancos (Randazzo, Keeney, Kowalski, Cappelli, y Moore, 2004), tecnología de la información y telecomunicaciones (Kowalski, Cappelli, Moore, 2008), infraestructura crítica (Keeney, Kowalski, Cappelli, Moore, Shimeall y Rogers, 2005), y servicios financieros (Cummings, Lewellen, McIntire, Moore, y Trzeciak, 2012).
Aunque el objetivo principal del Centro es descubrir y difundir los métodos prácticos para mitigar las amenazas internas, los casos de estudio se analizan de acuerdo con los estándares académicos: por ejemplo, se tuvieron en cuenta las limitaciones metodológicas, como la imposibilidad de generalizar los resultados para todas las organizaciones (Cappelli et al, 2012).
"los incidentes que más tardan en detectarse son los trabajos maliciosos internos"
Lo que revelan estos estudios es la manera en que una amplia gama de personal interno aprovecha cualquier oportunidad para cometer delitos, con frecuencia a través de la simple traición de la confianza depositada en ellos como empleados o contratistas. Algunos de ellos, como Edward Snowden (Poitras, 2014), cuentan con un amplio acceso de "súper usuario" a los activos de la organización, ya sean físicos o digitales; sin embargo, el CERT registró muchos casos en los que el delito fue cometido por un empleado interno con pocos conocimientos técnicos y solo un acceso limitado.
Mientras sigan teniendo acceso, los elofants se deben considerar personal interno de confianza, y la siguiente frase es sin duda cierta cuando hablamos de ellos: nunca tengas tantas personas que solían tener tanto acceso a tanta información computarizada de tanto valor. Por otra parte, nunca fue tan fácil como ahora transferir la información robada y convertirla en dinero (Ablon, Libicki y Golay).
Además, el hecho de que se trate de personal interno empeora aún más la situación, como lo indica el informe del DBIR de 2016: "Descubrimos que los incidentes que más tardan en detectarse son los relacionados a trabajos maliciosos internos". Entonces, ¿cuáles son las organizaciones que tienden a verse más afectadas por los ataques de personal interno? Según el DBIR, en 2015 eran las empresas de los sectores público, sanitario y financiero, tales como las empresas de tarjetas de crédito, los bancos y los prestamistas.
La defensa ante la amenaza interna es un serio desafío para todas las organizaciones. En estos casos, es sumamente útil leer la serie de estrategias de defensa explicadas en detalle por las guías del CERT (los vínculos se muestran más abajo). El informe DBIR en sí ofrece tres sugerencias que considero muy acertadas y que se pueden resumir de la siguiente manera:
- Monitorea el acceso de los empleados a los datos valiosos (es muy útil contar con un buen programa de prevención de fuga de datos).
- Controla el uso de los medios extraíbles (por ejemplo, instala un buen paquete de seguridad o de cifrado).
- Administra y limita los privilegios de acceso, y ¡quita a esos elofants de tu sistema!
Sigue leyendo: Luego de la autenticación vienen la autorización y el control del acceso
Referencias en inglés (algunas a archivos PDF)
Ablon, L., Libicki, M., y Golay, A. (2014). Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar. Rand Corporation.
Cappelli, D., Moore, A., y Trzeciak, R. (2012) The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud), Upper Saddle River, NJ: Addison-Wesley Professional.
CERT (2011) 2011 CyberSecurity Watch Survey: How bad is the insider threat? CERT Insider Threat Team, Pittsburgh: Carnegie Mellon University, Software Engineering Institute.
Coles-Kemp, L. y Theoharidou, M. (2010) ‘Insider Threat and Information Security Management’ en Insider Threats in Cyber Security – Advances in Information Security, 49, (Eds, Probst, C., Hunker’, J., Gollmann, D. y Bishop, M.), Nueva York: Springer, 45-72.
Cummings, A., Lewellen, T., McIntire, D., Moore, A., y Trzeciak, R. (2012), Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector, Software Engineering Institute, Carnegie Mellon University, (CMU/SEI-2012-SR-004).
Keeney, M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T., y Rogers, S. (2005) Insider Threat Study: Computer Systems Sabotage in Critical Infrastructure Sectors, CERT, Software Engineering Institute, Carnegie Mellon University.
Kowalski, E., Cappelli, D., and Moore, A. (2008) Insider Threat Study: Illicit Cyber Activity in the Information Technology and Telecommunications Sector, Software Engineering Institute y United States Secret Service.
Poitras, L. (Director) (2014) Citizenfour (Film), Estados Unidos: HBO.
Randazzo, M., Keeney, M., Kowalski, E., Cappelli, D. y Moore, A. (2004) Insider threat study: Illicit cyber activity in the banking and finance sector, Philadelphia: Carnegie Mellon University, Software Engineering Institute.
