La “amenaza interna”

Tradicionalmente las inversiones en medidas de seguridad informática se han centrado, especialmente desde que la conectividad con Internet se ha convertido en un hecho habitual, en los sistemas de defensas y protección ante la “amenaza externa”. Esto es, el objetivo de las mismas es proteger las redes corporativas de los ataques indiscriminados realizados por personas que no conocemos.

Desde hace ya unos años, diversos analistas vienen haciendo hincapié en que si bien los ataques “externos” son realmente muy numerosos pero por lo general el impacto económico de los mismos era bajo.

Por otro lado, era importante no olvidar aquellos que se realizan desde el interior de la red corporativa. Éstos, muy inferiores en número respecto a los ataques externos, por lo general tienen un impacto económico realmente importante. Por tanto, el mismo empeño que se pone en proteger la red corporativa de los ataques externos debe aplicarse en proteger los recursos críticos de información ante cualquier ataque que provenga de la propia red corporativa.

Un gran problema en la defensa de este planteamiento radica en la poca información fidedigna y contrastada sobre los efectos reales de la “amenaza interna”. El sentido común puede indicarnos una cosa pero la carencia de argumentos que corroboren los mismos es prácticamente imposible utilizarlos como medida argumental.

El Servicio Secreto de los Estados Unidos y el CERT/CC acaban de publicar un informe donde se analiza el impacto real de los ataques con origen en el interior de las organizaciones.

El estudio se centra en empresas del sector bancario y financiero y analiza un total de 23 incidentes realizados por 26 empleados entre los años 1996 y 2002. Las organizaciones afectadas incluyen empresas de seguros, bancos, firmas de inversiones y otras empresas del sector bancario y financiero.

De los 23 incidentes estudiados, 15 tuvieron como resultado diversos tipos de fraude, 4 estaban relacionados con el robo de propiedad intelectual y los 4 últimos consistían en el sabotaje de los sistemas informáticos o la red.

Las conclusiones del estudio son realmente interesantes:

-La práctica totalidad de los incidentes no pueden calificarse como complejos o tan siquiera sofisticados desde el punto de vista tecnológico. Habitualmente se basan en utilizar vulnerabilidades no relacionadas con la tecnología, sino con los procedimientos de negocio o las políticas organizativas. En un 87 por ciento de los casos, los atacantes internos utilizaron mecanismos plenamente legítimos en la realización de los ataques. Es más, en un 78 por ciento de los casos, los atacantes eran personal autorizado con acceso activo a los sistemas.

-Una gran parte de los incidentes (81 por ciento) fueron fruto de una planificación previa detallada. En muchas situaciones, había personas de la organización que conocían las intenciones, planes y/o actividades de los atacantes. Estas personas con conocimiento de lo que sucedía habían participado en la organización o esperaban obtener un beneficio de la actividad delictiva que se estaba desarrollando.

-El principal motivo para la realización de los ataques (81 por ciento de los casos) era la obtención de beneficios económicos y no la intención de dañar los intereses de la organización o los sistemas informáticos.

-No existe un perfil único que permita identificar a los autores de los ataques. Sólo un 23 por ciento de los mismos disponen de un perfil técnico dentro de la organización, un 13 por ciento han demostrado algún tipo de interés en temas relacionados con la seguridad informática y un 27 por ciento ha recibido algún tipo de aviso previo a causa de sus actividades.

-Tampoco existe un patrón común en la forma de detectar un ataque interno: algunos han sido detectados a nivel interno mientras que otros han sido identificados gracias a avisos procedentes del exterior, como pueden ser clientes y proveedores.

-El resultado de todos los ataques realizados desde el interior en el sector financiero y bancario fue una pérdida económica por parte de la organización atacada. En el 30 por ciento de los casos el importe de la pérdida sobrepasó los 500.000 dólares. Muchos ataques provocaron pérdidas y daños en diversos aspectos de la organización.

-Casi todos los ataques (83 por ciento) se realizaron físicamente en el interior de las organizaciones y durante el horario habitual de trabajo.