ENEMIGO EN CASA: Psicología del infiltrado y su impacto en la organización.

1.     INTRODUCCIÓN: ¿A nosotros? Eso no nos va a pasar. Conocemos a nuestros empleados...

¿Cuantas veces hemos oído a gerentes generales y directores de empresas decir que dentro de sus organizaciones reina el respeto, la armonía y el orgullo de pertenecer a ese grupo?

¿Cuántas veces no hemos oído decir a esos mismos líderes empresariales que las inversiones realizadas en seguridad física y cibernética están a la altura de estándares internacionales y en consecuencia están poco menos que blindados ante posibles ataques cibernéticos?

Pero ¿y que pasa cuando esos ataques se organizan internamente con la participación de uno o más de esos empleados que -hasta hace minutos- vivían con respeto, armonía y orgullo por la organización?

Según un estudio realizado (Data Exposure Report 2023)[1] el aumento anual de incidentes de exfiltración de data, robo de información y/o extravío de material sensible producto de infiltrados es de un aproximado de 32% año tras año.

En el 2025, y gracias a la aceleración de los procesos de digitalización, también crecerán las estadísticas de ciberdelitos especialmente en áreas cómo: suplantación de identidad, secuestro de datos vía ransomware avanzados y metodologías de ingeniería social apoyadas con IA para permear organizaciones con mayores niveles de protección informática.

Sin embargo, la máxima que repetimos en nuestros talleres se mantiene: “¿para qué invertir horas hombre en la evaluación de vulnerabilidades de una arquitectura de seguridad compleja, cuando puedes invertir mucho menos evaluando redes sociales de un individuo específico que te puede garantizar el acceso o, en el peor de los casos, la posibilidad de escalar privilegios para llegar al objetivo primario?”.

Pero ¿y el infiltrado dónde participa en esta dinámica? se preguntará con ansias nuestro apreciado lector.

Pues depende de las circunstancias. Existen multiplicidad de causas por las cuales un empleado puede convertirse en un infiltrado. Tres tipos de infiltrados son los que nos deben preocupar:

                   TIPO                                        RAZÓN                                    IMPACTO

Los infiltrados, en cualesquiera de sus tipos, representan un porcentaje importante de la totalidad del riesgo proyectado dentro de una organización. Si tomamos en cuenta que más del 90 % de los ataques cibernéticos requieren de la interacción humana para su éxito[2], entonces debemos factorizar la probabilidad de un infiltrado o ‘insider’ en alguna de las etapas de un incidente.

Para este tipo de casos, se debe reflexionar con una mentalidad enfocada en la seguridad general de una organización:

¿tenemos bases de datos que podrían ser de interés de la competencia o de algún gobierno extranjero y que podrían ser robadas, exfiltradas o manipuladas por algún empleado nuestro?

¿Acaso un empleado, considerado de confianza, podría infiltrar un código malicioso en nuestra organización?

¿Acaso pudiera suceder que algún empleado, socio o contratista esté planificando robar información confidencial para negociar una posición laboral con la competencia?

Estas interrogantes, amén de otras, según escenario particular, son las que deben evaluarse en el marco de una estrategia moderna de prevención.  

Hay que asumir que el factor humano es un componente inestable en seguridad cibernética porque su actuación puede depender de su estado anímico, necesidad inmediata y/o lealtad a terceros y eso incidirá en la planificación, facilitación, transporte y resguardo de activos o información sensible.

2.     PSICOLOGÍA DEL INFILTRADO O ‘INSIDER’: ¿Cómo es que no lo vimos venir?

Encasillar a un infiltrado o ‘insider’ dentro de un perfil psicológico único, es una imposibilidad debido que cada caso es particular. Ciertamente en casos de espionaje, los estudios psiquiátricos más reconocidos, como los del Dr. David L. Charney[3], apuntan que los rasgos repetidos en los sujetos estudiados es la personalidad ‘narcisista y antisocial’, pero no son todos.

En nuestros talleres sobre introducción a la creación de un programa contra infiltrados o ‘insiders’ explicamos que el proceso en el cuál un empleado/ejecutivo/socio/etc. se transforma en un infiltrado es un puente (de lealtad a deslealtad) que transcurre con la capacidad que tiene un individuo para lidiar con factores de estrés personales, estructurales y laborales versus la capacidad de la organización de reconocer y reaccionar (o no reaccionar) ante los indicios/signos que el empleado deja a su paso.

¿Qué rasgos podrían categorizar a un potencial infiltrado? Generalmente presentan algunos, todos o una combinación de los siguientes:

o   Recientes frustraciones sociales o personales.

o   Flexibilidad ética.

o   Lealtad reducida, condicionada o confinada a su persona y no a ideales.

o   Percepción constante de sentirse con privilegios ante algo o creer la necesidad de recibir merecimientos de forma sistemática.

o   Falta de empatía con compañeros de trabajo.

o   Problemas con la autoridad. Incapacidad de reconocer errores frente a sus superiores y achacárselos a otros.

o   Constante búsqueda de apoyo, entre colegas, para justificar una posición que generalmente es contraria a la de la superioridad.

El problema empieza a agravarse cuando la organización no reconoce estos comportamientos entre alguno de sus empleados porque ello puede reforzar la convicción del potencial infiltrado o ‘insider’ que sus acciones no generan mayores responsabilidades.  

En la figura 01 podemos observar una serie de comportamientos e indicadores de inminencia de riesgo (CIIR)[4] en los que pueden incurrir los potenciales infiltrados o ‘insiders’ previo a la realización de un acto de deslealtad o delitoFigura 01

De acuerdo con las investigaciones que se han realizado en el campo de comportamiento contra-productivo laboral, y que lleva al desarrollo del modelo de inminencia de riesgo, hay tres elementos claves que se desprenden de los estudios:

1.     Existe un patrón de ocurrencia respecto al comportamiento e indicadores de inminencia de riesgo (CIIR): los individuos que incurren en una desviación o agresión de bajo impacto suelen repetir el comportamiento.

2.     El CIIR -generalmente- escala: El individuo que incurre en una desviación o agresión de bajo impacto tiende a escalar a comportamientos o agresiones más severas, por lo que es vital que existan mecanismos de supervisión para mitigar esta situación.

3.     Los CIIR no ocurren de forma espontánea: factores de estrés en el hogar o en el trabajo actúan como detonantes para generar los comportamientos o agresiones que, de no ser identificadas de forma temprana, pueden traer serios problemas a una organización.

Es importante recordar que no existe un perfil psicológico o demográfico para categorizar un infiltrado o ‘insider’. Las características más significativas o indicadores potenciales de riesgo para su identificación son los patrones de comportamiento: sus variaciones y/o cambios bruscos.

Todos vivimos frustraciones en nuestros trabajos, pero -en su mayoría- tenemos la resiliencia interna para superar esas experiencias. El problema es cuando hay una confluencia de factores negativos.

Por ejemplo, unas expectativas laborales insatisfechas pueden ser razón para considerar una queja, pero no para traicionar a la empresa. Sin embargo, unas expectativas laborales insatisfechas, la percepción de estancamiento potenciadas con problemas extra-laborales tales como temas maritales, enfermedades, problemas económicos y adicciones, pueden perfectamente empujar a un empleado a cometer delitos dentro de la organización.

Si no consigue mecanismos para deslastrar la presión y el apoyo necesario para evaluar de forma independiente su situación, sus problemas se convierten en obsesión y las soluciones más sencillas, aunque drásticas, son aquellas que están al alcance del individuo de una forma inmediata.

Al llegar a este punto, el individuo puede reaccionar de forma antisocial y/o planificar vengarse de la organización que `no lo ha compensado adecuadamente’ infligiéndole un daño directo o buscando un beneficio personal que lo haga sentir compensado según su percepción (a veces ambas).

Es allí es cuando se inicia la fase de concepción (la idea) del delito pero que en su mente lo justifica como venganza o compensación merecida. ¿Qué sigue? La planificación para lograr la exfiltración de propiedad intelectual, información confidencial del personal o corporativos, sabotaje cibernético, etc. En otras palabras: se desencadena un potencial enemigo interno.

3.     LA MITIGACIÓN DE RIESGO DE INFILTRADOS O “INSIDERS”: ¿y ahora cómo hacemos?

La firma www.statista.com, publicó en abril de este año, su último estudio referente a las motivaciones más comunes relacionados con infiltrados o ‘insiders’ durante el 2023. Las estadísticas, basadas en un universo de 467 encuestados pertenecientes a 8 sectores diferentes, son muy llamativas y podrían proyectarse -con cautela- al ámbito mexicano dado que no hay estadísticas locales de incidentes con participación de infiltrados o ‘insiders’.

Llama la atención que más de la mitad (50%+) de los incidentes con infiltrados reportados en 2023 tenían motivación financiera seguidos de un 43% por razones de venganza hacia el empleador.

Los seis renglones con valor estadístico fueron: exfiltración de información sensible con 62% del total de incidentes reportados; abuso de privilegios con 19%; snooping (intentos de obtener información privilegiada de forma furtiva) y agregación de data para formar bases de datos no autorizadas con 9.5%; sabotaje de infraestructura con 5.1%; intentos de evasión de controles de seguridad de la información con 3.8% e incidentes de cuentas empresariales compartidas con 0.6% del total de incidentes recabados.

Estas estadísticas demuestran que la exfiltración de información confidencial es el incidente más recurrente, probablemente por la demanda de la información, la falta de mecanismos de prevención orientados a delitos internos y la facilidad de ocultar o disimular su extracción (vía internet, USB, de forma física, etc.).

De acuerdo con CERT (Computer Emergency Response Team) del Software Engineering Institute de la Universidad Carnegie Mellon en los Estados Unidos, hay 16 buenas prácticas que coadyuvan a la detección y prevención de la amenaza del infiltrado o ‘insider’:

1.     Durante las evaluaciones periódicas de riesgo corporativo, hay que factorizar el riesgo de infiltrados (empleados y/o socios comerciales) como un elemento adicional.

2.     Se debe documentar de forma clara cuales son las políticas y controles internos para prevenir y/o mitigar este riesgo. Esta información debe permear transversalmente la organización de manera que todos estén informados y así evitar confusiones y/o desconocimiento de las políticas.

3.     Se sugiere instaurar un programa capacitación periódica -para todos los empleados- sobre los riesgos colectivos de esta clase de incidentes, su detección y mecanismos de reporte.

4.     Es muy importante tener un mecanismo de monitoreo de comportamiento sospechoso o disruptivo que se inicie desde el proceso de selección.

5.     Estructurar prácticas de ‘anticipación y gerencia’ de incidentes laborales contra-productivos o negativos.

6.     Monitorear y asegurar los espacios físicos mediante diferentes controles.

7.     Implementar controles y políticas estrictas de contraseñas y gerencia de cuentas de mail corporativas.

8.     Establecer separación entre tareas y privilegios. No asignar a personas con privilegios limitados a tareas que no le corresponden por acceso.

9.     Considerar el riesgo de infiltrado o ‘insider’ en el ciclo de vida del desarrollo de software.

10.  Caución con los administradores del sistema y usuarios técnicos o privilegiados.

11.  Implementar alarmas o notificaciones al momento de cambios -no autorizados- dentro del sistema.

12.   Registre, monitoree y audite las interacciones online de sus empleados.

13.  Use defensas de separación por capas (layered) contra ataques remotos.

14.  Desactive el acceso a computadoras de empleados que sean separados de sus cargos.

15.  Implemente procesos de backup seguros y recuperación de data.

16.  Desarrolle un plan de respuesta de incidentes para el caso de infiltrados o ‘insiders’.

Nosotros vamos un paso más allá y sugerimos la generación de ejercicios estratégicos de integración de riesgo (EEIR) para recrear escenarios y evaluar estrategias de contención y/o mitigación en casos de exfiltración de información sensible, incidentes de violencia en el ambiente laboral y otras situaciones de riesgo.

La exfiltración de información sensible está obviamente en el tope de los incidentes. Para esta clase de delitos, generalmente existe colusión con individuos externos que tienen interés en esa información y que están dispuesto a ofrecer una contraprestación por el riesgo de extraerla.

Otra opción es que el infiltrado quiera sabotear la organización y filtrar la información de forma pública a sabiendas de las consecuencias, daño reputacional y posibles retaliaciones.

Pero si tomamos como ejemplo el primer caso de colusión, también podríamos anticipar otras potenciales acciones a las cuales nuestra organización podría estar vulnerable.

Por ejemplo: un infiltrado puede `inyectar´ valores incorrectos o resultados amañados para generar desinformación y confusión interna de manera de inculpar a un gerente, multiplicar el pago de horas extra o simplemente retrasar el pago de impuestos.

Imagínese planificar la adquisición de una empresa con información errónea obtenida y presentada como fidedigna por empleados de ´confianza o socios´.

Suponga que su planificación estratégica anual está basada en información incorrecta alimentada desde lo interno de la organización para favorecer a la competencia. ¿Tenemos un proceso de contrainteligencia que permita detectar este tipo de acciones organización?

¿Acaso la exfiltración sistemática y progresiva de datos personales de gerentes, socios o personal considerado como ‘especial’ por sus privilegios no obedece a un plan bien concebido para permear una organización desde afuera?

Obvio, existe el infiltrado o ‘insider’ que provee la inteligencia necesaria, pero convencer a ese infiltrado de coludir con un grupo externo es mucho más fácil cuando se le explica que la data será utilizada para una operación de ingeniería social que para un secuestro o una extorsión. ¿Cierto verdad?

Acá tocamos un punto verdaderamente álgido pero recurrente. La relación entre infiltrados o ‘insiders’ e ingeniería social. Lo notable es que este acercamiento pareciera que va a crecer por dos razones:

a)     Lo atractivo de una propuesta – que suena casi inofensiva- de obtener información personal de un objetivo por dinero con la promesa que el objetivo sólo será atacado cibernéticamente para extraerle fondos. En otras palabras, cero daños físicos, nulo contacto personal, bajas probabilidades de ser identificados y menos de ser enjuiciados.

b)    El uso de infiltrados o ‘insiders’ por una estructura criminal en una empresa, facilita la comprensión de su funcionamiento, las medidas de seguridad y la identificación de los individuos claves para ser atacados en una operación de ingeniería social. No necesariamente tienen que ser un ejecutivo o director, quizás el ‘insider’ provee información de un gerente junior quien es el administrador del sistema con manejo de claves. El punto es que develar esa operación (¿cómo se vulneró el sistema?; ¿quién proveyó la información?; ¿estaba bajo coacción o fue vulnerado por intermedio de una operación de ingeniería social?; etc.) es muy complicado y los riesgos que corre el infiltrado que proveyó la inteligencia, son marginales.

DATOS: Costos promedios de una acción por infiltrado según el Ponemon Institute (nivel regional) es de 16 millones de U$ por incidente, lo que representa un aumento del 80% desde el año 2016. El promedio de detección y contención de un ataque por infiltrado es de 91 días en el 35% de los casos reportados.

4.     CONCLUSIÓN: ¿alguna buena noticia?

El potencial riesgo que representa un infiltrado o ‘insider’ dentro de una organización es muy difícil de predecir. Basta con pensar que mientras más acelerada y profundos sean los procesos de digitalización de una empresa, mayor el riesgo de exfiltración de información sensible. 

En el último reporte de la compañía de seguridad informática y una de las pioneras en detección de riesgo de infiltrados, CODE 24 (2023 Data Exposure Report)[5] se observan las siguientes tendencias:

a)     Los empleados son más propensos a filtrar información confidencial ahora, que en tiempos pre COVID (28% de casos entre las empresas encuestadas previa pandemia versus 52% post pandemia).

b)    Los líderes en seguridad de la información encuestados informaron que el riesgo que suponen los infiltrados y los empleados ‘descuidados’ representan las principales causas para la filtración de data sensible por encima de ataques externos. Pero que sólo un promedio del 20% de los presupuestos de ciberseguridad fueron invertidos en prevención de riesgo de infiltrados o ‘insider’.

c)     4 de 5 líderes de seguridad de la información encuestados considera que el riesgo infiltrado va a incrementar (o va a incrementar mucho) en los próximos 2 años.

d)    91 días es el promedio que se tarda en identificar una fuga de información. 45 días aproximadamente para contener los efectos/impacto de la fuga y 6 meses promedio para la investigación y remediación.

e)    Menos de la mitad de las empresas encuestadas (46%) tienen un plan de prevención de riesgo de infiltrados o ‘insiders’.

Si, pareciera que es un problema irreversible, difícil de detectar y aún más complicado de aceptar (no es fácil asumir que cualquier empleado, sin importar su cargo, podría convertirse en un infiltrado o ‘insider’), pero es una realidad y, por ejemplo, para el sector financiero basta con navegar en el Dark Web, en un foro llamado:  carding21, para entender el problema real que hay con infiltrados dentro de la banca (específicamente con ejecutivos de sucursales).

Pero este problema se puede mitigar. Teniendo programas de indicadores de riesgo que alerten sobre:

a)     individuos que trabajen a deshoras constantemente

b)    monitoreo de individuos con acceso periódico/diario/eventual a información o proyectos confidenciales,

c)     monitoreo de actividades de individuos que renuncien o sean despedidos

d)    y un mecanismo de alerta temprana para identificar empleados con comportamientos extraños, agresivos y/o retraídos de manera de ofrecer apoyo psicológico y administrativo.

Estas son algunas iniciativas básicas para mitigar este riesgo, pero el problema no va a desaparecer, por el contrario, va a incrementarse por las razones anteriormente expuestas.

¿Cuánto hay que invertir para controlar este flagelo? Pues dependerá de la evaluación que habrá que realizar. Nuestra sugerencia: haga una evaluación de potencial riesgo de infiltrado o ‘insider’, evalúen sus mecanismos de contrainteligencia e implementen un programa de contención del riesgo por infiltrados o ‘insiders’.

Es preferible ser proactivo. El costo de un infiltrado en la organización podría representar mucho más que perdida de dinero, filtración de estrategias comerciales y daños reputacionales.

Tener un programa de prevención podría ser la diferencia entre la vida y la muerte porque un empleado con problemas, bajo presión y temas colaterales cómo adicciones, podría explotar en el lugar de trabajo -por cualquier razón- con consecuencias impredecibles…

[1] annual-data-exposure-report-2023-code42.pdf

[2] https://www.proofpoint.com/es/resources/threat-reports/human-factor 

[3] David L. Charney, “True Psychology of the Insider Spy,” Intelligencer: Journal of U.S. Intelligence Studies (Fall/Winter 2010): 47-54. Available at https:// www.ncsc.gov/issues/docs/Charney-PsychologyofInsiderSpyAFIO-INTEL_Fall-Winter2010.pdf.

[4] El CIIR proviene de una adaptación del estudio de: Paul R. Sackett, and Cynthia J. DeVore, “Counterproductive Behaviors at Work,” in Handbook of Industrial, Work & Organizational Psychology, Volume 1: Personnel Psychology, edited by Neil Anderson, Deniz S. Ones, Handan Kepir Sinangil, and Chockalingam Viswesvaran (London: SAGE Publications, 2005): 145-164.

[5] https://www.code42.com/resources/report-2021-data-exposure/?utm_medium=pressrelease&utm_source=website&utm_campaign=ent_der2021&utm_content=report-2021-data-exposure&utm_term=data-exposure-report