cuando el enemigo esta dentro anatomia de un insider breach

Cuando el enemigo está dentro: anatomía de un insider breach

PorCarlos Ribeiro

El caso de FinWise Bank demuestra que a veces la amenaza más peligrosa es la que ya conoce la contraseña. Un exempleado accedió a datos sensibles de 689.000 personas, provocando un incidente que ha terminado en los tribunales y que pone de relieve uno de los problemas de seguridad más difíciles de atajar: el breach perpetrado por alguien que ya estaba dentro del sistema.

El caso FinWise: cuando el peligro viene de tu antigua plantilla

La filtración ocurrida en FinWise Bank resulta especialmente preocupante por cómo se produjo. No hubo hackeo sofisticado ni ataque externo, sino que un exempleado accedió a datos después de finalizar su contrato laboral. Lo que me llama la atención es que estamos hablando de una entidad financiera, donde se supone que los protocolos de seguridad deberían ser especialmente rigurosos.

El incidente afectó principalmente a los datos gestionados por American First Finance (AFF), una empresa que colabora con FinWise ofreciendo soluciones de pago y préstamos a plazos. Lo curioso es que FinWise actúa como prestamista mientras que AFF proporciona la plataforma tecnológica y gestiona los préstamos. Este tipo de estructura compartida complica la seguridad porque multiplica los puntos de acceso.

La magnitud del daño: 689.000 razones para preocuparse

Casi 700.000 personas se han visto afectadas por esta brecha de seguridad. Aunque FinWise no ha especificado exactamente qué datos fueron comprometidos, el hecho de que estén ofreciendo 12 meses de servicios gratuitos de monitorización crediticia y protección contra robo de identidad sugiere que la información expuesta es sensible, probablemente incluyendo números de Seguridad Social.

Lo que más me preocupa de este caso es que la notificación a los afectados llegó con bastante retraso: el incidente ocurrió en mayo de 2024 y parece que las comunicaciones oficiales han tardado meses en producirse. Esto da a los posibles atacantes una ventana de tiempo valiosísima para usar esos datos antes de que las víctimas puedan protegerse.

El auge de las amenazas internas

Los insider breach no son una rareza en el panorama actual de la ciberseguridad. De hecho, según datos recientes, aproximadamente el 34% de las filtraciones de datos están relacionadas, de alguna forma, con personas que tienen o tuvieron acceso legítimo a los sistemas.

¿Negligencia o mala intención?

Lo que no queda claro en el caso de FinWise es si estamos ante un acto deliberado o simplemente una negligencia. Ambos escenarios son preocupantes, aunque por razones diferentes:

  • Si fue un acto malicioso: Podríamos estar hablando de venganza, extorsión o intención de vender los datos en mercados clandestinos.
  • Si fue negligencia: Refleja fallos graves en los protocolos de desvinculación de empleados y en la gestión de accesos.

Sea como sea, el resultado final es el mismo: cientos de miles de personas con sus datos comprometidos y un banco enfrentando demandas colectivas.

Cómo se gestiona (mal) la salida de empleados

La mayoría de las organizaciones tiene procedimientos estrictos para dar acceso a nuevos empleados, pero muchas fallan estrepitosamente cuando se trata de revocar esos privilegios. Una correcta gestión de la salida debería incluir:

  1. Revocación inmediata de todos los accesos a sistemas, aplicaciones y bases de datos
  2. Cambio de contraseñas compartidas o de accesos a recursos comunes
  3. Seguimiento de la actividad en los días previos a la salida
  4. Cierre de cuentas asociadas a proveedores externos

En el caso de FinWise, parece que este protocolo falló en algún punto, permitiendo que un exempleado mantuviera acceso a sistemas críticos después de su salida.

Las consecuencias legales ya están en marcha

Como era de esperar, FinWise ya se enfrenta a demandas colectivas presentadas por algunos de los afectados. La compañía ha confirmado estas acciones legales en un informe reciente a la Comisión de Bolsa y Valores (SEC), donde también ha manifestado su intención de defenderse.

Esto no es sorprendente: las brechas de datos que afectan a información financiera o personal sensible suelen acabar en los tribunales, especialmente cuando hay indicios de negligencia en la protección de los datos o en la respuesta al incidente.

Lecciones que nos deja este caso

El incidente de FinWise nos recuerda varias lecciones fundamentales que cualquier organización debería tener en cuenta:

  1. El principio del mínimo privilegio: Los empleados solo deberían tener acceso a los datos que necesitan para realizar su trabajo, ni uno más.

  2. Actualizar permisos constantemente: Los privilegios de acceso deberían revisarse regularmente y no solo cuando un empleado se marcha.

  3. La importancia de la monitorización: Detectar comportamientos anómalos, como accesos fuera de horario o descargas masivas de información, puede ser clave para detener una filtración antes de que ocurra.

  4. Respuesta rápida: La comunicación oportuna a los afectados es crucial para que puedan tomar medidas para protegerse.

No deja de ser irónico que, mientras las empresas invierten millones en protegerse de amenazas externas sofisticadas, a veces la brecha más grave puede venir de algo tan simple como olvidar desactivar una cuenta de usuario.

Y lo más preocupante: casos como el de FinWise no son la excepción sino, cada vez más, la norma. Los datos son el nuevo petróleo, y todos —incluidos quienes ya conocen tus sistemas desde dentro— lo saben perfectamente.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *