Quienes trabajamos o hemos trabajado con las empresas y su seguridad de la información, sabemos que uno de los principales mitos a destruir cuando se trata del mundo corporativo es que la seguridad de la información no se trata únicamente de "protegerse contra los hackers". Y cuando hablamos de "hacker" no hablamos en el término que quienes trabajan en seguridad entienden, sino al cibercriminal que se conectará remotamente a la red de la empresa y generará daños, porque le gusta o porque obtiene una ganancia. De lo que estamos hablando es de la creencia de que la seguridad de la información solo debe ocuparse de los ataques externos por parte de atacantes maliciosos. Sobre este tema, aparecía la semana una interesante noticia relacionada a este tema: el popular diario New York Times se convirtió en emisor de spam al enviar más de 8 millones de correos no deseados. ¿Cómo ocurrió este incidente de seguridad? Todo se ha dado por este peculiar personaje presentado en el título de este post: el inocente atacante interno.

Tal como indica el reporte del diario, el correo fue enviado por accidente por un empleado (supuestamente el correo estaba destinado solo a 300 personas). El mismo indicaba que el usuario había pedido la cancelación del servicio y ofrecía un 50% de descuento para renovar el uso del mismo. De esta forma, por un pequeño error, uno de los diarios más importantes del mundo fue acusado de spammer durante muchas horas en redes sociales, como así también se inundó de sospechas sobre posibles "hackeos" al diario.

Entre los impactos, también debe considerarse la exposición de información confidencial: la costumbre del diario de ofrecer descuentos a quienes cancelen su suscripción, lo cual puede motivar a muchos usuarios a pedir la misma para recibir el descuento, lo cual podría impactar en una pérdida económica para la organización.

Este pequeño incidente de seguridad, por el cual el diario envió 8 millones de correos de spam, pone en evidencia lo presentado en la introducción: los incidentes de seguridad no siempre son ocasionados por atacantes externos, como así tampoco no siempre son causados con fines maliciosos, sino que muchas veces se trata simplemente de un error. Estos incidentes (los internos y no intencionados) también son un problema de seguridad de la información que muchas compañías suelen obviar.

Una correcta gestión de la seguridad en las empresas debe abarcar los cuatro posibles incidentes:

  1. Riesgos por incidentes externos y maliciosos (aquí se encuadra el cibercrimen).
  2. Riesgos por incidentes externos y no maliciosos
  3. Riesgos por incidentes internos y maliciosos
  4. Riesgos por incidentes internos y no maliciosos

Sin embargo, en muchos casos solo se considera el primero de ellos, subestimando o directamente obviando los riesgos asociados a los otros tipos de incidentes.

Los responsables de seguridad de las empresas deben considerar todas estas variables si planean gestionar eficientemente la seguridad de la información en el entorno corporativo. El "atacante" interno y no malicioso también debe ser tenido en cuenta al momento de evaluar los riesgos. Si no pregunten al New York Times.

Sebastián Bortnik
Coordinador de Awareness & Research