Barracuda full logo

Gestión de amenazas internas en toda la organización

Temas:
3 feb 2026
|
Christine Barry

Cómo el acceso de confianza crea una exposición oculta y cómo los equipos de seguridad, TI y negocio pueden reducir el riesgo interno

Conclusiones

  • Las amenazas internas no son solo maliciosas. La negligencia, los errores involuntarios y las cuentas comprometidas representan una parte significativa de los incidentes provocados por personas internas.
  • El riesgo aumenta durante momentos clave del ciclo de vida. La incorporación, los cambios de funciones, los plazos con mucha presión y las salidas de empleados se correlacionan constantemente con un mayor riesgo interno.
  • La resiliencia importa más que la confianza. Una gestión efectiva del riesgo interno se centra en el principio de privilegio mínimo, el monitoreo de patrones de comportamiento y el diseño de controles de seguridad que se ajusten a flujos de trabajo reales.

Las amenazas internas se encuentran entre los riesgos más subestimados e inesperados a los que se enfrentan las empresas. Los incidentes que se originan a partir de una identidad con acceso de confianza son casi siempre más difíciles de detectar y rastrear que los incidentes que se producen a través de defensas vulneradas. Las investigaciones muestran que los incidentes internos cuestan a las organizaciones un promedio de 17,4 millones de dólares al año, con credenciales comprometidas y acciones negligentes de los usuarios que generan el mayor impacto financiero y los tiempos de detección más prolongados. Estos incidentes a menudo tardan meses en ser identificados, mitigados e investigados. El Informe de Investigaciones de Brechas de Datos de Verizon 2025 (DBIR) también revela que los empleados internos están involucrados en la mayoría de las brechas, ya sea por error o malicia. Por todo esto, representan un riesgo legítimo para empresas de todos los tamaños en todos los sectores.

Las amenazas internas van más allá de los empleados malintencionados. Cualquier usuario puede crear involuntariamente un riesgo para la empresa, por lo que, si está pensando en la gestión de riesgos internos, tenga en cuenta esta definición de los expertos de la Universidad Carnegie Mellon:

Amenaza interna: La posibilidad de que un individuo que tiene o tuvo acceso autorizado a los activos críticos de una organización use su acceso, ya sea de manera maliciosa o involuntaria, para actuar de una manera que podría afectar negativamente a la organización. ~Daniel L. Costa, CERT Insider Threat Center, Software Engineering Institute (SEI)

Esta definición es lo suficientemente amplia como para incluir cualquier tipo de riesgo derivado de cualquier tipo de amenaza interna. Esto le ayudará a mantener los riesgos internos visibles en su estrategia de seguridad.

Los principales tipos de amenazas internas

Insiders maliciosos que causan daño intencional

Tal y como su nombre indica, son aquellos que quieren robar secretos de la empresa, destruir activos digitales, filtrar datos confidenciales o perjudicar de cualquier otra forma a la empresa.

Hay varios motivos que explican estas actividades destructivas. Los empleados descontentos pueden querer castigar a la empresa o a un compañero de trabajo. Los oportunistas pueden aceptar pagos de los autores de las amenazas para proporcionarles acceso o de los competidores para proporcionarles información. Este riesgo aumenta considerablemente en torno a las bajas, por lo que las empresas deben mantener un programa disciplinado de salida o despido.

Personas con información privilegiada negligentes que crean riesgos de forma involuntaria.

Las personas con acceso de confianza no siempre quieren seguir las reglas. Puede que no tengan intención de hacer daño a nadie, pero reutilizan contraseñas, hacen clic en el spam por curiosidad, ignoran las etiquetas de confidencialidad y eluden los controles de seguridad porque es más fácil o rápido que seguir el protocolo.

La mayoría de las veces, estas personas creen que están resolviendo un problema. Necesitan algo rápido, por lo que se envían archivos por correo electrónico para poder trabajar fuera del horario laboral, o comparten credenciales porque varias personas necesitan acceder a un recurso de un solo usuario. Esto se puede reducir examinando cómo encajan los procesos de seguridad en los flujos de trabajo. Si un usuario «solo está tratando de hacer su trabajo», puede que haya una forma mejor de proteger los sistemas afectados. La formación puede ayudarles a comprender el «porqué» de los controles. Recabar opiniones de estos usuarios puede ayudar a conseguir su aceptación si se actualizan las políticas de seguridad.

Personas con información privilegiada que cometen errores involuntarios

A menudo referidos como "insiders accidentales", estos usuarios pueden dirigir incorrectamente correos electrónicos, configurar mal las políticas de seguridad o almacenar datos sensibles en un espacio no protegido. Estos usuarios no son maliciosos ni negligentes, pero cometen errores que conducen a la exposición.

Todos cometemos errores, especialmente cuando estamos apurados o cansados, pero hay algunos factores ambientales que pueden ayudar a reducir este riesgo. Las auditorías de seguridad periódicas y el escaneo automatizado pueden identificar brechas de seguridad y vulnerabilidades que los equipos de TI pueden pasar por alto. Las reglas claras sobre la confidencialidad de los datos y el cifrado automatizado pueden facilitar la seguridad a los usuarios.

Personas internas comprometidas que, sin intención, proporcionan acceso a los atacantes.

Esto describe a un empleado interno cuyo acceso ha sido «secuestrado» por un agente externo malintencionado. El actor de amenaza obtiene el control de una cuenta legítima y opera como el usuario, integrándose en el tráfico normal y trabajando lentamente para obtener más acceso sin activar alertas. Esto frecuentemente comienza como phishing o instalaciones accidentales de malware. Puedes ver un ejemplo clásico de esto en el ataque de agosto de 2025 en Nevada.

Terceros con información privilegiada

Los proveedores, contratistas y otros socios externos suelen tener acceso legítimo a un dominio, pero operan bajo un conjunto diferente de controles y supervisión. Esto amplía su superficie de ataque y puede crear puntos ciegos en su postura de seguridad. Aunque confíe en sus socios externos, debe tener en cuenta que ellos también se enfrentan a riesgos internos y otras amenazas.

Puede mitigar este riesgo aplicando la segmentación, controles de identidad estrictos, acceso con privilegios mínimos y justo a tiempo, y otras prácticas recomendadas.

Prediciendo el riesgo interno

El riesgo interno no se distribuye de manera uniforme entre los empleados o socios. El nivel de riesgo aumentará en función de los acontecimientos y otros factores estresantes.

Tipo de amenaza interna Fases/eventos del ciclo de vida de alto riesgo Señal de riesgo de ejemplo

Insiders maliciosos (daño intencional)

Estrés económico, acción disciplinaria, período de preaviso, despido, disputas legales

Acceso inusual a datos o filtración cerca de la salida

Insiders negligentes (que eluden reglas)

Plazos ajustados, cambios en la organización, migraciones de herramientas, fricciones en el flujo de trabajo

Elusiones repetidas de políticas para "hacer el trabajo"

Insiders accidentales (errores involuntarios)

Primeras semanas de empleo, cambios de funciones, fatiga, multitarea

Correo electrónico mal dirigido o permisos mal configurados

Usuarios internos comprometidos (cuentas secuestradas)

Campañas de phishing, cambios en el trabajo remoto, viajes, autenticación débil

Actividad anómala de inicio de sesión o movimiento lateral

Insiders de terceros (proveedores, contratistas)

Incorporación de proveedores, asistencia de emergencia, transiciones de contratos, fusiones y adquisiciones

Acceso excesivo o prolongado de terceros

 

Prácticas recomendadas para mitigar las amenazas internas

  • Crear un programa de gestión de riesgos internos (IRM): Establezca un programa formal que trate el riesgo interno como un riesgo empresarial multifuncional, no solo como un problema de seguridad. Incluya a las partes interesadas de seguridad, TI, RR. HH., legal y cumplimiento normativo.
  • Aplicar el principio de privilegios mínimos con acceso just-in-time (JIT): Conceder privilegios elevados solo cuando sea necesario y revocarlos al terminar. Esto puede requerir más tareas administrativas que proporcionar acceso permanente, pero reduce el impacto de empleados malintencionados, cuentas comprometidas y uso indebido por terceros.
  • Diseñar controles de seguridad en torno a los flujos de trabajo: A los usuarios les gusta evitar la fricción, especialmente cuando se trata de controles de seguridad. Revise cómo trabajan los empleados y rediseñe los procesos para que la ruta segura sea la más fácil posible.
  • Automatice la protección siempre que sea posible: El cifrado automático y la configuración de compartición segura por defecto ayudarán a eliminar el error humano.
  • Fortalecer la identidad y la autenticación: Imponer identidades únicas y autenticación multifactor (MFA) para todos los usuarios. Adoptar e imponer principios de confianza cero como la autenticación continua y el monitoreo de sesiones.
  • Monitor para patrones de riesgo: Enfocar la detección en combinaciones inusuales de acciones, como el acceso a datos seguido de la descarga local y la transferencia externa.
  • Ajuste los controles según sea necesario: Las ventanas de alto riesgo como la incorporación de nuevos empleados, las transiciones de proveedores, los cambios de función y las salidas de empleados pueden requerir acceso restringido y una mayor supervisión.
  • Automatizar la configuración de la nube, aplicaciones y dispositivos siempre que sea posible: La automatización reduce las tasas de error y limita el daño cuando ocurren errores. El escaneo automatizado de vulnerabilidades puede ayudar a priorizar la mitigación.
  • Trate el acceso de terceros como un dominio de riesgo separado: Segmente el acceso de terceros y aplique identidades individuales y otros controles técnicos.

La gestión del riesgo interno no se trata de si se puede confiar en los empleados o socios, sino de la resiliencia. Las organizaciones deben diseñar sistemas que puedan soportar los errores, el uso indebido o el compromiso de los empleados internos cuando se produzcan, no si se producen.

Más sobre las amenazas internas:

 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
 El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
 Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Sandworm: La brigada rusa que destruye infraestructuras a nivel global
 Tecnología automovilística: Una nueva y vasta superficie de ciberataques
Tecnología automovilística: Una nueva y vasta superficie de ciberataques
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.