Presidente del CONSEJOSI
¿Qué es una prueba de penetración o pentest?
El pentest es la simulación de un ataque que permite conocer las vulnerabilidades explotables de una red, aplicación, sitio web o cualquier otro activo informático dentro de un alcance determinado, sin causarle daño al cliente.
Para mayor detalle consulte el artículo
¿Qué es un Pentest o Prueba de Penetración y de qué sirve?
Amenazas internas
Las amenazas internas son cualquier actividad malintencionada que se origina dentro de la empresa, ya sea deliberada o no. A menudo, estas amenazas son pasadas por alto porque se asume que los empleados tienen buenas intenciones, son confiables y aptos para resistir ataques de Ingeniería Social (la cual describimos abajo). Pero, la realidad es que incluso los empleados más confiables pueden cometer errores y ser víctimas de engaños.
Ahora bien, las amenazas internas pueden causar daños iguales o mayores que las externas. Un empleado malintencionado puede robar información confidencial de la empresa, dañar los sistemas o filtrar información valiosa a competidores o cibercriminales. Esto no es hipotético, ha sucedido.
Además, las amenazas internas pueden ser difíciles de detectar. Por lo general, los empleados malintencionados tienen acceso legítimo a los sistemas de la empresa, lo que significa que no es necesario que realicen una intrusión para comprometer la seguridad. Esto dificulta la detección de una amenaza interna.
Tipos de amenazas internas
Las amenazas internas pueden ser causadas por diferentes factores. Aquí se presentan los diferentes tipos de amenazas internas que deben ser considerados al evaluar la seguridad de una empresa.
| Tipo de amenaza interna | Descripción |
|---|---|
| Errores no intencionales | Ocurre cuando un empleado comete un error no intencional que afecta la seguridad de la empresa. Por ejemplo, puede enviar por error información confidencial a un destinatario equivocado. |
| Abuso de privilegios | Este se produce cuando un empleado utiliza su acceso legítimo a los sistemas de la empresa para realizar actividades malintencionadas. Por ejemplo, un empleado con acceso a los datos financieros de la empresa puede utilizar esta información para su propio beneficio. |
| Ingeniería Social | Este es el término eufemístico que la industria le ha dado a la estafa. Esto es, a la manipulación psicológica de los colaboradores para obtener información confidencial o acceso no autorizado a los sistemas de la empresa. Por ejemplo, un atacante puede hacerse pasar por un compañero y solicitar información confidencial por teléfono o correo electrónico. |
| Malware introducido por el usuario | Este tipo de amenaza se produce cuando un empleado introduce malware en los sistemas de la empresa, ya sea de manera intencional o inadvertida. Por ejemplo, un empleado puede descargar un archivo adjunto malicioso en un correo electrónico sin darse cuenta. |
| Accesos no autorizados | Ocurre cuando un empleado o un tercero no autorizado accede a los sistemas de la empresa sin permiso. Esto puede incluir acceder a información confidencial, realizar cambios no autorizados en los sistemas o robar datos. |
| Fuga de información | Se refiere a la divulgación no autorizada de información confidencial de la empresa. Esto puede ocurrir cuando un empleado divulga información confidencial de manera intencional o accidental, o cuando un tercero accede y divulga la información. |
| Robo de propiedad intelectual | Este se produce cuando un empleado o un tercero accede y roba información confidencial de la empresa, como diseños, patentes o información de investigación y desarrollo. |
| Sabotaje | El sabotaje se refiere a la acción intencional de un empleado para dañar los sistemas de la empresa o causar interrupciones en el negocio. Esto puede incluir la eliminación o alteración de datos importantes o la realización de cambios no autorizados en los sistemas de la empresa. |
| Mal uso de recursos | El mal uso de recursos se refiere a la utilización no autorizada de los recursos de la empresa, como la red de la empresa, los dispositivos y los equipos, para actividades no relacionadas con el trabajo. |
| Negligencia del empleado | La negligencia del empleado se produce cuando un empleado no sigue los procedimientos de seguridad de la empresa o no presta atención a los riesgos de seguridad. Esto puede incluir la selección de contraseñas débiles o la divulgación de información confidencial por accidente. |
Consecuencias de las amenazas internas
| No. | Consecuencias de las amenazas internas | Descripción |
|---|---|---|
| 1 | Pérdida de datos | Eliminación o alteración de información importante. |
| 2 | Tiempo de inactividad | Interrupción de los sistemas de la empresa, lo que provoca pérdida de productividad y oportunidades comerciales. |
| 3 | Reputación dañada | Fuga de información o robo de propiedad intelectual que dañan la reputación de la empresa y disminuyen los ingresos. |
| 4 | Consecuencias legales | Posibles multas y demandas por fuga de datos, robo de propiedad intelectual o divulgación no autorizada de datos personales de clientes, proveedores o colaboradores. |
| 5 | Pérdida financiera | Pérdidas financieras significativas por fraudes, robos o venta de información comercialmente valiosa. |
| 6 | Dificultades para cumplir con las regulaciones | Incumplimiento de regulaciones aplicables, lo que puede resultar en multas y sanciones. |
| 7 | Dificultades para mantener la confianza del cliente | Pérdida de confianza del cliente debido a la fuga de información confidencial, lo que puede provocar que los clientes elijan hacer negocios con una empresa competidora. |
| 8 | Fuga de propiedad intelectual | Posible fuga de información comercialmente valiosa o propiedad intelectual de la empresa, lo que puede disminuir su ventaja competitiva. |
| 9 | Interrupción de servicios | Interrupción de servicios críticos para la empresa, como correo electrónico o servicios de nube, lo que puede provocar la pérdida de productividad y la incapacidad de cumplir con los plazos de entrega. |
| 10 | Sobrecarga de sistemas | Sobrecarga de sistemas debido a la realización de actividades maliciosas, lo que puede provocar la inactividad de los sistemas y la pérdida de productividad. |
| 11 | Reducción en la calidad del servicio | Reducción en la calidad del servicio debido a la inactividad de los sistemas y la pérdida de productividad, lo que puede resultar en una disminución de la satisfacción del cliente. |
| 12 | Problemas de productividad | Problemas de productividad debido a la interrupción de los sistemas o a la pérdida de tiempo en la solución de problemas relacionados con la seguridad. |
| 13 | Pérdida de clientes | Pérdida de clientes debido a la fuga de información confidencial o a la interrupción de los servicios críticos para la empresa. |
Después de revisar los diferentes tipos de amenazas internas y sus consecuencias, es evidente que la detección temprana es crítica para la seguridad de la organización. Las pruebas de penetración son una herramienta clave para detectar y corregir las vulnerabilidades explotables que pueden ser aprovechadas por amenazas internas.
Además, es importante educar a los empleados sobre las mejores prácticas de seguridad de la información y la importancia de reportar cualquier actividad sospechosa.
El uso de pruebas de penetración, junto con la educación y concientización de los empleados, puede ayudar a proteger los activos informáticos y mantener la reputación y la confianza del cliente.
