Qué hacer en caso de conflicto con Windows Defender →
Español ES

Contactar con nosotros:

sales@kickidler.io
Prueba gratuita Demo

Caso de cliente. Una historia de espionaje corporativo en el sector TI.

Una historia de espionaje corporativo en el sector TI.

Una idea equivocada común sobre el espionaje corporativo es pensar que solo afecta a las empresas que manejan datos confidenciales relacionados con inteligencia gubernamental. Sin embargo, esto no podría estar más alejado de la realidad.

Tanto las grandes corporaciones como las pequeñas empresas pueden ser víctimas del acceso malicioso a su información. La buena noticia es que, aunque la pérdida de datos puede causar daños enormes, también es bastante fácil de prevenir.

El robo de información crítica suele ocurrir por descuidos menores en la seguridad de los datos, sumados a una falta general de conciencia sobre el tema. Ya contamos con un artículo completo que analiza en profundidad qué es la Prevención de Pérdida de Datos (DLP, por sus siglas en inglés).

Hoy hemos decidido ir un paso más allá y compartir un caso real de uno de nuestros clientes (con nombres y detalles modificados, por supuesto, para proteger su privacidad) con el fin de arrojar algo de luz sobre el problema del espionaje corporativo y la creciente preocupación por la protección de datos.

Hace poco, uno de nuestros clientes, una empresa tecnológica estadounidense, nos contó la historia de dos empleados suyos que resultaron culpables de robar secretos comerciales y otros datos corporativos sensibles (esto ocurrió, por supuesto, antes de que la empresa implementara Kickidler DLP). Los atacantes pasaron varios años planificando cómo obtener la información necesaria para fundar su propia empresa en China y competir en el multimillonario mercado de los semiconductores.

Nuestro cliente es una empresa innovadora en el desarrollo de semiconductores analógicos de alto rendimiento, y ha invertido más de 50 millones de dólares en investigación y desarrollo durante los últimos 25 años, apostando por una docena de soluciones tecnológicas diferentes.

Los infiltrados optaron por un método de exfiltración de datos lento y silencioso, extrayendo poco a poco información corporativa sensible a lo largo de varios años. Este enfoque, bastante común en los casos de espionaje corporativo, se basa en eludir las medidas de seguridad mediante acciones metódicas y planificadas, donde los atacantes suelen probar los puntos de control para verificar si generan alertas antes de iniciar la exfiltración real. Esto hace que identificar una actividad maliciosa sea bastante difícil, ya que se disfraza dentro de años de comportamiento aparentemente normal. También complica enormemente la búsqueda de evidencia e indicadores de conducta sospechosa en los registros de actividad, convirtiéndola en algo tan complejo como buscar una aguja en un pajar.

Medidas de seguridad de la empresa

Primero, evaluemos el nivel de madurez de los protocolos de la empresa frente a amenazas internas, según las medidas que ya tenían implementadas para la protección de datos.

Los controles de seguridad existentes incluían lo siguiente:

  • Acuerdos de confidencialidad;
  • Restricciones físicas (credenciales, tarjetas de acceso);
  • Formación del personal en el manejo de confidencialidad;
  • Cámaras de seguridad;
  • Requisitos de nombre de usuario y contraseña;
  • Acceso restringido a través de VPN;
  • Entrevistas de salida.

Comencemos por lo positivo. Se habían implementado procedimientos disuasivos estándar, como mensajes de advertencia al iniciar sesión y la firma de acuerdos de confidencialidad, con el fin de disuadir a los usuarios de realizar actos maliciosos y brindar respaldo legal. Los controles de seguridad física parecían adecuados y proporcionales al tamaño de la organización. Por último, se ofrecía capacitación anual para empleados en temas de concientización y seguridad.

Al mismo tiempo, resulta evidente la notoria ausencia de herramientas de protección de datos al momento del ataque. El uso de un buen software de prevención de pérdida de datos (DLP) es un mecanismo fundamental para detectar y prevenir amenazas internas. De haberse implementado y configurado correctamente, podría haber ayudado a identificar comunicaciones maliciosas o sospechosas por correo electrónico con entidades externas.

Además, no existía una herramienta centralizada para el análisis de datos, ya que cada punto de control se supervisaba de forma aislada, en lugar de contar con un sistema de análisis integral.

Perfil del ataque

El método de exfiltración utilizado fue el correo electrónico: se enviaban correos simples con archivos adjuntos confidenciales a destinatarios externos de forma frecuente.

El contenido de los correos no estaba cifrado ni disfrazado, con la única excepción de que se evitaban las direcciones corporativas, ya que podían ser rastreadas, y algunos mensajes estaban redactados en chino, lo cual dificultaba un poco la identificación de su contenido.

Los archivos adjuntos iban desde diagramas de diseño y hojas de cálculo hasta documentos de texto y bases de datos.

Los atacantes incluso actuaron con audacia al intentar patentar partes de los datos robados tanto en Estados Unidos como en China, usando el nombre de una empresa que habían creado en las Islas Caimán.

El robo de datos causó un daño considerable a la organización, incluyendo la pérdida temporal de su ventaja competitiva y diversas repercusiones legales.

Los secretos comerciales robados incluían lo siguiente:

  • diseños de productos;
  • especificaciones de equipos;
  • planes de proyectos;
  • informes de pruebas;
  • datos de rendimiento;
  • bases de datos;
  • información corporativa sensible (nombres de usuario, contraseñas).

Análisis del comportamiento

Los datos que robaron los empleados incluían desde precios y diseños hasta bases de datos de proveedores y clientes, muchas de las cuales no eran parte de las funciones normales de su trabajo (ingenieros).

La implementación oportuna de un software de análisis de comportamiento de usuarios (UBA) podría haber identificado que los patrones de acceso de los ingenieros eran anormales en comparación con los archivos y carpetas a los que accedían sus compañeros.

Además, las funciones de UBA de nuestro software podrían haber ayudado a identificar el movimiento de datos (incluyendo volúmenes, frecuencia y patrones de destinatarios) y a detectar desviaciones con respecto al comportamiento habitual de los atacantes, como el envío externo de grandes volúmenes de información sensible de la empresa.

En términos generales, este caso es un ejemplo muy típico de una amenaza interna que no fue enfrentada con el nivel de madurez necesario para integrar diversas herramientas en un sistema centralizado. Cuando la prevención de pérdida de datos, el análisis de comportamiento de usuarios y las funciones de monitoreo de empleados operan de forma sincronizada, se vuelve mucho más fácil detectar actividades maliciosas provenientes del interior de la organización.

Medidas preventivas

Las organizaciones deben implementar medidas sólidas de ciberseguridad preventiva para proteger su negocio.

Aquí tienes algunas estrategias que puedes adoptar para minimizar los riesgos en la seguridad de los datos:

  • Monitorear la actividad de los usuarios con software de supervisión de empleados para detectar comportamientos inusuales o intentos de acceso no autorizados en tiempo real.
  • Restringir el acceso a información sensible según el rol de cada empleado, asegurando que solo el personal autorizado pueda ver datos confidenciales.
  • Implementar la autenticación de dos factores y fomentar el uso de contraseñas complejas para añadir una capa extra de protección.
  • Realizar auditorías de seguridad periódicas para evaluar los protocolos y detectar posibles vulnerabilidades.
  • Fomentar una cultura de conciencia sobre seguridad a través de talleres y seminarios dentro de la empresa, para ayudar a prevenir intentos de espionaje corporativo.
  • Desarrollar políticas claras sobre el manejo de datos que promuevan un ambiente donde cada empleado se sienta responsable de proteger la información sensible de la empresa.
  • Ofrecer capacitación continua en ciberseguridad para educar al personal sobre amenazas comunes y técnicas de ingeniería social.

Como puedes ver en el ejemplo de nuestro cliente, el espionaje corporativo es una realidad muy presente en cualquier empresa. Dado que las compañías suelen minimizar estos casos para evitar daños a su reputación, el problema no recibe la atención que merece.

¡Pero no te preocupes! Los expertos de Kickidler contamos con amplia experiencia en distintos incidentes y utilizamos ese conocimiento para ayudarte a proteger la información de tu empresa contra atacantes con intenciones maliciosas. Obtén una solución personalizada acorde a las necesidades de tu industria, que te permitirá descubrir debilidades ocultas que quizás no hayas detectado internamente y fortalecer la seguridad de tus datos.

¡Protege tu negocio y resguarda tu información sensible con la ayuda de Kickidler!

Author photo.
Alicia Rubens

Como entusiasta de la tecnología y escritora sénior en Kickidler, me especializo en crear contenido perspicaz que ayuda a las empresas a optimizar la gestión de su fuerza laboral.

Software de prevención de pérdida de datos: DLP

Más características de Kickidler

Y aquí hay algunos artículos más interesantes: