Marc Sureda
El fenómeno de la amenaza interna está ganando peso en el panorama de la ciberseguridad, con campañas orientadas a reclutar empleados como vía directa para comprometer organizaciones. Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies, advierte de un crecimiento sostenido de la captación de insiders para facilitar accesos, robar información sensible o desactivar controles de seguridad. Según su análisis, la práctica se observa con especial interés hacia compañías de banca, telecomunicaciones y tecnología, aunque el alcance se extiende a otros sectores.
El planteamiento supone un cambio relevante en el modo de operar de los atacantes. El análisis señala que, cada vez con mayor frecuencia, los ciberdelincuentes buscan apoyarse en empleados internos para reducir la necesidad de explotar vulnerabilidades técnicas o desplegar ingeniería social compleja. En este contexto, los foros de la darknet se convierten en un punto de encuentro donde coinciden actores criminales y empleados dispuestos a colaborar por motivación económica o por descontento laboral, publicando anuncios para vender accesos, credenciales o información privilegiada.
En ese mercado clandestino, los mensajes suelen ser breves y directos, aunque Check Point Research también ha detectado tácticas de persuasión más elaboradas. Algunos anuncios apelan a mensajes emocionales y manipuladores, vinculados al cansancio laboral, y prometen recompensas económicas elevadas a cambio de colaborar. En cuanto a importes, la firma sitúa los pagos más habituales entre 3.000 y 15.000 dólares por accesos puntuales o por conjuntos concretos de información, con cifras superiores cuando se ofrecen bases de datos completas o accesos privilegiados de alto valor.
La investigación apunta a una concentración de interés en el ámbito financiero y en empresas vinculadas a criptomonedas. Check Point Research indica que ha identificado anuncios dirigidos a empleados de plataformas como: Coinbase, Binance, Kraken o Gemini, además de grandes consultoras y proveedores de servicios tecnológicos. En paralelo, se describe la existencia de ofertas de bases de datos robadas con millones de registros de usuarios, que posteriormente se emplean para ataques más dirigidos, fraudes financieros o campañas de phishing de mayor precisión.
El sector bancario aparece, de acuerdo con los anuncios analizados, como uno de los objetivos más codiciados por el valor de los accesos y la información. Entre las solicitudes observadas figuran accesos a sistemas bancarios centrales, historiales completos de transacciones y propuestas de colaboración a largo plazo con pagos periódicos, lo que apunta a estructuras criminales más profesionalizadas. Esta orientación a acuerdos continuados sugiere, según el análisis, un enfoque más estable y organizado frente a acciones puntuales.
La tecnología también concentra atención por el volumen de datos sensibles que gestiona y por su papel en la cadena de suministro digital. Check Point Research señala intentos de captación de insiders en grandes fabricantes de dispositivos, plataformas digitales y proveedores cloud, con ofertas que alcanzan los 10.000 dólares. En telecomunicaciones, el interés se vincula a campañas de SIM swapping, con foco en empleados que puedan reasignar números o interceptar mensajes SMS para sortear mecanismos de autenticación; en estos casos, las recompensas pueden llegar a 15.000 dólares.
El alcance no se limita a sectores tradicionalmente asociados a ciberataques. En logística y transporte, Check Point Research describe búsquedas de insiders capaces de facilitar la manipulación de envíos, controles aduaneros o el redireccionamiento de mercancías, con pagos entre 500 y 5.000 dólares. Con ello, la firma sitúa la amenaza como transversal y con capacidad de adaptarse a distintos modelos de negocio.
Rafa López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software explica: “La amenaza interna se está consolidando como uno de los desafíos más complejos de la ciberseguridad actual. Cuando un empleado colabora de forma activa con un ciberdelincuente, la detección y prevención del incidente se vuelve mucho más difícil, ya que los accesos y acciones pueden parecer legítimos desde el punto de vista de los sistemas de seguridad. El uso generalizado de criptomonedas como método de pago anónimo está acelerando esta tendencia, incrementando los riesgos no solo financieros, sino también reputacionales, operativos y regulatorios para las organizaciones afectadas”.
En cuanto a la mitigación, Check Point Research plantea que la respuesta debe combinar tecnología y medidas centradas en las personas. La firma recomienda mantener una concienciación continua de los empleados sobre riesgos y consecuencias legales y éticas, aplicar controles estrictos de acceso y privilegios bajo el principio de mínimo privilegio, y monitorizar comportamientos anómalos que puedan apuntar a usos indebidos de accesos internos. También sitúa como elemento relevante la vigilancia activa de la darknet para detectar menciones, filtraciones o intentos de captación vinculados a la organización. La prevención, la visibilidad y la vigilancia constante se presentan como ejes para reducir el impacto de un fenómeno que, según los investigadores, continuará creciendo en los próximos años.
