Un empleado de un banco en Colombia logró apropiarse de casi 270.000 dólares que extrajo de las cuentas de ahorros de varios clientes. Este es un ejemplo de la importancia de prepararse y prevenir los ataques internos.
Aunque la gran mayoría de los ciberataques provienen de fuentes externas, en muchas ocasiones la raíz de las amenazas está en trabajadores de las empresas, por lo que se les conocen como ataques internos o insiders.
El más reciente informe de Ponemon sobre los insiders (Cost of Insiders Threats Global Report 2022) muestra que la tendencia va en aumento, pues el costo relacionado con estos ataques llegó a los 15 millones de dólares al año; un 34% más que en 2020.
Aunque los empleados negligentes son la causa de la mayoría de los incidentes (el 56%), los insiders criminales (empleados que intencionalmente quieren causar daños a la compañía) estuvieron detrás del 26% de los casos, generando pérdidas en promedio superiores a los 600.000 dólares.
El caso del banco
Un empleado de uno de los bancos más grandes de Colombia, actuó como un insider criminal y obtuvo cerca de 270.000 dólares de las cuentas de varios clientes del banco, haciendo más de 80 transferencias por distintos montos.
Accedía a las cuentas de los clientes y enviaba dinero a cuentas de algunos amigos suyos, quienes se encargaban de retirar en efectivo. Logró obtener el dinero por medio de varias operaciones entre mayo y diciembre de 2021.
Este insider tenía accesos privilegiados a las herramientas de gestión de seguridad de la aplicación móvil del banco. Por ello podía acceder sin restricciones a la información de los clientes y realizar múltiples transferencias bancarias.
¿Cómo evitar estos ataques?
Zero Trust
Implementar una política de confianza cero (Zero Trust) es inevitable. No se trata de sospechar de toda la fuerza laboral: se trata de no dejar espacio a brechas de seguridad. Incluso muchos ataques internos, como mencionamos antes, se deben a negligencia, a olvidos o faltas leves que a veces sin intención, generan peligros para la compañía.
Gestión de accesos privilegiados
En el caso que revisamos anteriormente, vimos que el empleado tenía accesos privilegiados y podía hacer cualquier cantidad de cambios e intervenciones sin el monitoreo debido, y en general sin controles.
Una solución como ManageEngine PAM360 permite elevación de privilegios Just-In-Time (accesos temporales, con contraseñas de un solo uso y revocables después de un período definido), monitoreo de sesiones privilegiadas (para registrar todos los movimientos del acceso privilegiado y almacenar videos para respaldar auditorías de investigación) y análisis de comportamiento del usuario privilegiado (que detecta anomalías mediante tecnología de inteligencia artificial y machine learning, identificando actividades potencialmente dañinas para la compañía).
Estrategia de ciberseguridad
Seguramente el banco de este caso ya aprendió su lección. ¿Nadie pensó que permitir accesos privilegiados sin ninguna clase de control, era una mala idea? Aunque el sentido común es el menos común de los sentidos, la verdad es que nos puede pasar a cualquiera de nosotros.
Lo esencial es no dejar brechas de ninguna clase, y establecer una estrategia de ciberseguridad que establezca los riesgos y amenazas. Así será más fácil desarrollar controles e indicadores que fijen parámetros de alarma, y tener indicios antes de que el desastre golpee a la puerta.
¿Qué recursos podrían ser útiles a la hora de pensar en una estrategia de ciberseguridad? La guia para la implementación de los Controles CIS y la Guía de soluciones de ciberseguridad de ManageEngine, le serán de utilidad sin duda.