Con las cifras millonarias que los ciberdelincuentes han obtenido con sus acciones, cooptar empleados dentro de las empresas mediante sobornos se ha convertido en una opción viable para obtener acceso a las redes corporativas. Desafortunadamente, los criminales tienen el dinero para "invertir" en este método.

Por esta razón, es indispensable que las empresas comprendan esta amenaza, por qué los criminales se interesan en reclutar insiders y cómo utilizan los privilegios adquiridos a través de ellos.

Comencemos con la definición de la amenaza interna (Insider threat) para luego explorar por qué los empleados son captados por los hackers y qué se puede hacer para mitigar los riesgos.

Definiendo la Amenaza Interna

Es posible entender la amenaza interna como una acción intencional de un agente privilegiado interno, ya sea un empleado directo o un tercero que ha recibido permisos de acceso.

Sin embargo, las definiciones más aceptadas de amenaza interna incluyen también situaciones en las que hubo negligencia o descuido accidental e inconsciente por parte del empleado. Un documento reciente del Departamento de Defensa de los Estados Unidos (PDF) presentó precisamente esta definición, que considera al empleado dentro de todo su contexto humano.

Dentro de este alcance más amplio, una amenaza interna puede manifestarse cuando un empleado tiene problemas personales o familiares, incluyendo dificultades financieras, adicciones, problemas de salud y falta de capacitación adecuada.

Aunque las empresas pueden modelar los riesgos vinculados a las amenazas internas de la manera que consideren más apropiada en su contexto, cabe señalar que la diferencia entre estas dos perspectivas no es tan distante como parece.

Un empleado que actúa de mala fe puede valerse de las deficiencias en la capacitación para crear una situación falsa en la que "cae" en una estafa planificada por los hackers que lo cooptaron. En este escenario, puede ser difícil diferenciar un caso de negligencia de una acción intencional. Quienes utilizan una definición más estricta de amenaza interna pueden terminar no categorizando este incidente de forma correcta.

Para que un empleado comprometa la red corporativa, muchas veces basta con instalar un software de Remote Monitoring & Management (RMM), que permite controlar el sistema desde otra computadora. Los pasos para realizar esta instalación pueden ser comunicados por un atacante que se hace pasar por el departamento de TI de la empresa u otro profesional, creando un escenario que, en principio, elimina al usuario interno como sospechoso.

Además, las dificultades personales y familiares pueden aumentar las posibilidades de que un empleado decida cooperar con intrusos. Paralelamente, una capacitación que ayude a los empleados a comprender las políticas y mecanismos que existen para detectar y sancionar a quienes actúan de mala fe puede reducir el interés del empleado en realizar algún acuerdo con un invasor externo.

Si el empleado no comprende que este tipo de actitud puede perjudicar a todos los stakeholders de la empresa (incluyéndose a sí mismo), es más probable que ceda a la presión de los reclutadores.

¿A Quién Buscan los Criminales?

El Departamento de Justicia de los Estados Unidos anunció recientemente la imputación de empleados de las empresas DigitalMint y Sygnia bajo la alegación de que colaboraron con bandas de ransomware. Estos profesionales no actuaron directamente contra sus empleadores, sino que perjudicaron a clientes y otras empresas utilizando los privilegios que tenían para diseminar códigos maliciosos o favorecer a los criminales en lugar de eliminar la amenaza de las redes corporativas.

Este caso presenta una lección importante sobre el perfil de las personas buscadas por los hackers. Con frecuencia, el objetivo no es la empresa que emplea al colaborador. Esto explica por qué los criminales frecuentemente buscan cómplices basándose en la función que ejercen, independientemente de la empresa para la cual trabajan.

Es posible comprender por qué esto ocurre y qué buscan los criminales en cada empleado:

Técnicos del Área de TI: Quienes trabajan en el departamento de TI tienen acceso a diversos sistemas y poseen información privilegiada sobre la arquitectura de red de la empresa o de los clientes que atiende (en caso de ser un proveedor de servicios).

Incluso si una empresa no es un objetivo de interés para los criminales ni está conectada a estos objetivos, los técnicos de TI pueden proporcionar infraestructura (como servidores) para auxiliar a los criminales en sus operaciones. Por este motivo, estos profesionales son altamente buscados.

Gerentes de Área y Cuentas en Instituciones Financieras: Es fácil tener alguna noción del motivo detrás del interés de los criminales en captar empleados de instituciones financieras, pero no siempre es posible imaginar todo lo que los criminales buscan con este acceso.

La idea no siempre es solo transferir el dinero de los clientes. A veces, el objetivo es facilitar la creación de cuentas falsas (testaferros) o el acceso a cuentas de personas jurídicas para recibir el dinero robado de otras cuentas. Puede ser más difícil comprobar la actuación irregular de los empleados en estos casos, ya que un "error" que pasó desapercibido en la documentación también puede ocurrir por descuidos accidentales.

En el caso de las casas de cambio de criptomonedas, estas son frecuentemente el destino del dinero robado para el lavado de dinero. Después de que los recursos se mezclan con otras criptomonedas, puede ser bastante difícil recuperar lo que fue robado.

Telemarketing y Servicios: Los prestadores de servicios poseen acceso a sistemas o datos de clientes que pueden ser útiles para hackers y estafadores. Centros de atención para público externo e interno, proveedores de servicios administrados (MSPs) y a veces hasta empresas tercerizadas para limpieza o mantenimiento pueden tener un nivel de acceso útil para los criminales.

Las empresas de tecnología también entran en esta lista, tanto por la capacidad de viabilizar acceso externo (como en el caso de empleados de TI) como por la posibilidad de sabotear soluciones de seguridad o de protección contra fraude.

Gobierno: Los empleados públicos pueden ser muy valiosos para los criminales. Con frecuencia, pueden consultar datos personales para facilitar fraudes, aprobar documentaciones falsas (incluyendo certificados digitales) o filtrar datos de empresas que pasan por sistemas gubernamentales, como en el caso de documentos fiscales.

Además, la infraestructura de TI del gobierno frecuentemente es considerada confiable por los sistemas de seguridad. Por lo tanto, la posibilidad de usar sistemas del gobierno para recibir datos filtrados o diseminar malware es aún más interesante para los criminales.

Millones en Pérdidas: Los Números de la Amenaza Interna

De acuerdo con un informe del Ponemon Institute, las amenazas internas generan, en promedio, un costo anual de $17.4 millones de dólares para las empresas. Esto es el doble del valor registrado en 2018, que fue de $8.3 millones de dólares.

Según el Data Breach Investigations Report (DBIR) de Verizon de 2025, el 65% de los incidentes que involucran amenazas internas resultan de algún tipo de negligencia del empleado, mientras que el 31% de los incidentes derivan de acciones intencionales del empleado.

Finalmente, el 2025 Insider Risk Report de Fortinet y Cybersecurity Insiders señala que el 77% de las organizaciones tuvieron alguna pérdida de datos resultante de una amenaza interna en el período de 18 meses anterior a la investigación, y el 21% de ellas tuvo más de 20 incidentes de esta categoría en el mismo período.

Al igual que el DBIR, la investigación de Cybersecurity Leaders también reveló que el 62% de los incidentes resultan de un error humano o una cuenta comprometida.

Monitoreo e Inteligencia

Cuantos más empleados posee una empresa, más difícil es la dirección de las acciones que pueden mitigar los incidentes internos.

Para superar este desafío, es necesario monitorear la acción de los criminales de modo a comprender sus objetivos y métodos. Con este conocimiento, es posible elaborar acciones y estrategias que mitiguen el riesgo de forma efectiva.

Axur cuenta con una serie de soluciones para monitorear la acción de los criminales, recolectando inteligencia en amenazas cibernéticas que dan visibilidad sobre amenazas dirigidas además de perspectivas generales y sectoriales. Hable con nuestros especialistas para saber más.

F.A.Q.

P: ¿Qué es una amenaza interna?

R: Una amenaza interna es una acción intencional o negligente de un agente interno privilegiado (empleado o tercero con permisos de acceso) que compromete la seguridad organizacional. Esto incluye tanto acciones maliciosas deliberadas como violaciones de seguridad accidentales causadas por negligencia o falta de capacitación.

P: ¿Cuánto cuestan las amenazas internas a las empresas?

R: Según el Ponemon Institute, las amenazas internas generan un costo anual promedio de $17.4 millones de dólares para las empresas. Esto es el doble de la cifra de 2018, que fue de $8.3 millones de dólares, mostrando un aumento significativo en el impacto financiero de estos incidentes.

P: ¿Qué porcentaje de las brechas de datos involucran amenazas internas?

R: 65% de los incidentes que involucran amenazas internas resultan de algún tipo de negligencia del empleado, mientras que el 31% de los incidentes derivan de acciones intencionales. Además, el 62% de los incidentes resultan de un error humano o una cuenta comprometida.

P: ¿A qué empleados apuntan los ciberdelincuentes?

R: Los criminales apuntan principalmente a:

• Técnicos de TI con acceso a sistemas y arquitectura de red
• Empleados de instituciones financieras que pueden facilitar transacciones fraudulentas o crear cuentas falsas
• Proveedores de servicios y MSPs con acceso a sistemas y datos de clientes
• Empleados gubernamentales que pueden acceder a datos personales sensibles o proporcionar infraestructura confiable
• Cualquier persona con acceso privilegiado a sistemas sensibles o información confidencial

P: ¿Cómo difieren las amenazas internas de los ciberataques externos?

R: Las amenazas internas se originan de individuos que ya poseen acceso legítimo a los sistemas organizacionales, haciéndolas más difíciles de detectar que los ataques externos. Estos insiders pueden eludir muchos controles de seguridad porque poseen credenciales autorizadas y conocimiento de los procesos internos.

P: ¿Cuáles son las señales de advertencia de una potencial amenaza interna?

R: Las señales de advertencia incluyen empleados con dificultades financieras, problemas personales o familiares, adicciones, insatisfacción con la organización, patrones inusuales de acceso a datos sensibles o intentos de eludir protocolos de seguridad.

P: ¿Pueden los empleados negligentes considerarse amenazas internas?

R: Sí. Las definiciones modernas de amenazas internas incluyen tanto acciones maliciosas intencionales como violaciones de seguridad no intencionales causadas por negligencia, falta de capacitación o errores accidentales. El Departamento de Defensa de los Estados Unidos reconoce esta definición más amplia que considera a los empleados dentro de todo su contexto humano.

P: ¿Cómo pueden las empresas prevenir las amenazas internas?

R: Las empresas pueden mitigar las amenazas internas implementando capacitación integral de empleados, monitoreando la actividad de usuarios, comprendiendo los métodos de reclutamiento criminal, estableciendo políticas de seguridad claras y utilizando inteligencia de amenazas para identificar riesgos potenciales antes de que se materialicen.