Saltar al contenido principal
Volver a la biblioteca
Riesgo altoAcceso· Nivel intermedio

Insider threat: error y mal uso interno

La mitad de las brechas relacionadas con personas viene del propio interior: errores, mal uso o ex-empleados con accesos vivos. Ponemon 2024 cifra el coste medio de un incidente interno en 16,2 millones $.

Qué es

Qué es

No siempre el atacante está fuera. La categoría de insider threat cubre tres realidades distintas:

  1. Error humano (la mayoría): un empleado adjunta el fichero equivocado, comparte un enlace público sin querer, manda un email a la dirección incorrecta.
  2. Mal uso negligente: descargar bases de clientes a un USB personal para trabajar el fin de semana, almacenar contratos en Drive personal, instalar software no aprobado.
  3. Insider malicioso: empleado o colaborador que extrae deliberadamente datos antes de irse, sabotea sistemas, vende accesos.

Verizon DBIR 2024 atribuye el 28 % de las brechas a actores internos, y de ellos la mayoría son errores no intencionados.

Por qué es difícil de detectar

  • Los insiders ya tienen credenciales válidas y conocen los sistemas.
  • Las acciones (descargar, copiar, exportar) son las mismas que su trabajo legítimo.
  • Los controles perimetrales no aplican: el adversario está ya dentro.

Señales

  • Volumen anómalo de descargas desde un usuario en poco tiempo.
  • Acceso a recursos fuera de su rol o departamento.
  • Picos de actividad fuera de horario sin justificación.
  • Uso intensivo de canales de salida (USB, almacenamiento personal, email a dominios externos).
  • Cambios de comportamiento previos a una salida (preavisos, conflictos, periodos de notificación).
  • Cuentas activas de ex-empleados o ex-colaboradores.
Prevención

Principios

1. Privilegio mínimo y revisión

  • Cada usuario tiene solo los accesos necesarios para su rol.
  • Revisión trimestral de accesos por departamento.
  • Offboarding obligatorio con checklist: revocar accesos en M365, VPN, SaaS, Git, panel cloud, ERP, el mismo día de la baja.

2. DLP donde duele

  • Reglas de Data Loss Prevention en correo y endpoints: bloquear envío de ficheros con números de tarjeta o DNI a externos, bloquear escritura masiva a USB.
  • No es paranoia: es protección frente al error tonto del viernes por la tarde.

3. Cultura, no vigilancia

  • Política de uso aceptable clara y firmada.
  • Canal anónimo para reportar incidentes o sospechas (RGPD/whistleblowing).
  • Formación específica para gestores: cómo notar y abordar señales tempranas en su equipo.
  • En periodos de salida, conversación honesta sobre activos digitales y obligaciones.
Si ocurre

Si detectas extracción interna

  1. No confrontes en frío. Avisa a seguridad y RRHH para coordinar.
  2. Conserva evidencia (logs de acceso, capturas, copia forense si procede) antes de tocar la cuenta.
  3. Si el riesgo de extracción inmediata es alto: revoca accesos en caliente — empezando por VPN, correo, repositorios de código, S3/Drive, ERP — y deja claro por escrito quién autorizó la revocación.
  4. Consulta con asesoría legal antes de tomar acción disciplinaria o difundir. Hay obligaciones laborales y RGPD que respetar.