La seguridad corporativa se enfrenta a un cambio de paradigma: lo que antes se consideraba un ataque externo ahora puede originarse desde dentro. Con el auge del teletrabajo, la nube y el acceso distribuido, los ciberatacantes ya no fuerzan su entrada, sino que acceden como si fueran usuarios legítimos.
Según, Tony Fergusson, CISO en Residencia de Zscaler, Inc. (NASDAQ: ZS), este nuevo escenario redefine el riesgo interno y plantea desafíos críticos para los equipos de ciberseguridad. “Históricamente, un ‘insider’ se refería a alguien físicamente dentro de la empresa, como un empleado o un contratista con acceso físico a las oficinas. Sin embargo, los usuarios ahora están en todas partes, los datos a menudo residen en la nube y el perímetro tradicional se ha disuelto. Cualquiera que obtenga acceso a este entorno de confianza es, por definición, un insider”, añade.
Por tanto, si un dispositivo es comprometido con malware y acceso de comando y control, el adversario obtiene automáticamente los mismos privilegios que un insider legítimo. “Los ciberdelincuentes ya no necesitan hackear la entrada en las empresas, simplemente inician sesión”, destaca el experto.
Los atacantes se camuflan como usuarios auténticos
El reto de la detección ha crecido drásticamente. Los actores de amenazas han perfeccionado sus métodos para comprometer identidades o dispositivos, y una vez dentro, sus movimientos imitan a la perfección los de un empleado autorizado. “Cuanto más cerca están estos adversarios de los sistemas críticos y los datos sensibles, más difícil se vuelve para las medidas de seguridad tradicionales diferenciarlos de empleados genuinos o administradores del sistema”, explica Fergusson.
Este enfoque silencioso, conocido como “vivir de la tierra” (LOTL), permite a los atacantes a usar herramientas, credenciales y procesos ya presentes para evitar señales de alerta. Esta capacidad para pasar desapercibidos hace que la monitorización continua y el análisis del comportamiento sean más importantes que nunca.
De Zero Trust a Negative Trust
La compañía de ciberseguridad destaca la importancia de centrarse en el comportamiento y no solo en la identidad para frenar amenazas internas antes de que escalen. Fergusson defiende que Zero Trust es esencial, pero debe complementarse con Negative Trust, un enfoque basado en la imprevisibilidad y el engaño controlado. “La previsibilidad es un riesgo que muchas empresas pasan por alto. Al hacer los sistemas impredecibles, se dificulta el avance de los atacantes y se facilita su detección”, apunta.
Los expertos en ciberseguridad advierten que las empresas deben mejorar significativamente en la detección de comportamientos maliciosos, especialmente ahora que los adversarios están dispuestos a pagar a empleados para filtrar datos o simplemente entregar cookies de autenticación. “En una era donde el acceso es el nuevo perímetro, el comportamiento es la única señal verdadera de confianza”, concluye Fergusson.
