Insider threat: la amenaza que ya está adentro y que tu modelo de seguridad no está diseñado para ver

El modelo mental dominante en seguridad corporativa es perimetral: hay un adentro seguro y un afuera peligroso, y la función de seguridad es controlar la frontera entre los dos. Ese modelo tiene sentido para ciertos tipos de amenaza. Para el insider threat, es completamente inadecuado.

El insider threat es la amenaza que viene de alguien que ya está adentro: un empleado, un contratista, un proveedor con acceso a sistemas o instalaciones. Esa persona no necesita sortear el perímetro. Ya está del otro lado. Y si el sistema de seguridad está diseñado para vigilar el perímetro, tiene un punto ciego estructural.

Tipos de insider threat

El malicioso

Actúa con intención deliberada de causar daño o beneficio personal. Puede ser un empleado que defrauda, un competidor que infiltró a alguien, o alguien que fue reclutado externamente. Es el tipo más visible pero no el más común.

El negligente

No tiene intención de causar daño, pero sus acciones crean vulnerabilidades. El empleado que usa contraseñas débiles, que abre correos de phishing, que lleva documentos confidenciales a casa. Estadísticamente, es el tipo más frecuente y el que genera más incidentes.

El comprometido

Un empleado legítimo cuyas credenciales o accesos han sido comprometidos por un actor externo. Técnicamente es un insider, pero el riesgo viene de afuera. Es el tipo más difícil de detectar.

Cómo construir un programa de insider threat

• ▸Monitoreo de comportamiento en sistemas: patrones de acceso inusuales, descargas masivas, acceso a información fuera del perfil del rol.
• ▸Gestión del ciclo de vida de accesos: revocar permisos cuando cambia el rol o termina la relación laboral.
• ▸Cultura de reporte: la mayoría de los insiders son detectados por compañeros, no por sistemas.
• ▸Análisis de riesgo por posición: no todos los empleados representan el mismo nivel de riesgo insider.