Amenazas internas: cómo proteger tu empresa de sus propios empleados

No todos los ataques vienen de afuera

Cuando pensamos en ciberseguridad, imaginamos hackers en sudaderas atacando desde otro país. Pero las estadísticas cuentan una historia diferente: según el Ponemon Institute, el 60% de las brechas de datos involucran a alguien dentro de la organización — ya sea por malicia, negligencia, o credenciales comprometidas.

En México, el problema se amplifica por factores culturales y laborales específicos: alta rotación de personal (especialmente en manufactura y retail), relaciones laborales que terminan en conflicto, y una cultura donde compartir contraseñas entre colegas "de confianza" es normal.

Los 3 tipos de amenazas internas

1. El empleado negligente (70% de los casos)

No tiene mala intención pero causa daño por falta de capacitación o descuido:

• Envía un archivo confidencial al destinatario equivocado
• Usa la misma contraseña en el sistema corporativo y en sitios personales
• Cae en phishing y entrega sus credenciales sin darse cuenta
• Comparte archivos de SharePoint con "cualquiera con el enlace"

2. El empleado malicioso (25% de los casos)

Tiene intención deliberada de causar daño, generalmente por resentimiento, ganancia financiera, o presión externa:

• Copia bases de datos de clientes antes de renunciar
• Reenvía información competitiva a un futuro empleador
• Sabotea sistemas como represalia por un conflicto laboral
• Vende acceso a datos a competidores o criminales

3. El infiltrado (5% de los casos)

Un actor externo que usa credenciales legítimas — ya sea comprometidas por phishing, compradas en la dark web, o prestadas por un cómplice interno:

• Usa las credenciales de un empleado para acceder a sistemas
• Se aprovecha de cuentas compartidas sin monitoreo
• Explota cuentas de ex-empleados que no fueron desactivadas

Señales de alerta que debes monitorear

No puedes prevenir lo que no puedes ver. Estas son las señales de alerta más comunes:

Acceso fuera de patrón:

• Inicio de sesión a las 3am cuando el empleado siempre trabaja de 9 a 6
• Acceso desde una ubicación geográfica inusual
• Acceso a recursos que no son parte de su trabajo habitual

Volumen anómalo de datos:

• Descarga masiva de archivos de SharePoint o OneDrive
• Exportación inusual de datos de CRM o sistemas internos
• Copia de archivos a USB (si tienes visibilidad de endpoint)

Comportamiento de cuenta sospechoso:

• Múltiples intentos fallidos de acceso seguidos de un éxito
• Cambio de reglas de reenvío de email (reenviar todo a una cuenta externa)
• Acceso a buzones de otros usuarios sin justificación

Cómo prevenir amenazas internas con Microsoft 365

Paso 1: Principio de menor privilegio

Cada usuario solo debe tener acceso a lo que necesita para su trabajo. Revisa los permisos trimestralmente. Si alguien cambió de puesto hace 6 meses, probablemente todavía tiene los permisos del puesto anterior más los del nuevo.

Paso 2: Auditoría habilitada y monitoreada

De nada sirve tener logs si nadie los revisa. Habilita la auditoría unificada de Microsoft 365 y configura alertas para los eventos de alto riesgo: reenvíos de email externos, descargas masivas, cambios de permisos de admin.

Paso 3: DLP activo

Configura políticas de DLP (Data Loss Prevention) que detecten cuando datos sensibles (RFC, CURP, números de cuenta, datos de clientes) se comparten por email, Teams, o SharePoint fuera de la organización.

Paso 4: Proceso de offboarding riguroso

Cuando un empleado se va — especialmente si no es voluntario — la desactivación de su cuenta debe ocurrir antes de que salga del edificio. No al día siguiente. No cuando "RH lo procese". Inmediatamente.

Paso 5: Capacitación continua

La mayoría de incidentes por negligencia se previenen con capacitación. Phishing simulado mensual, recordatorios de políticas de datos, y consecuencias claras por violaciones.

Lo que nuestro escaneo detecta

Nuestro escaneo gratuito de 192 reglas incluye detección de:

• Cuentas con reenvío automático a direcciones externas
• Cuentas de ex-empleados que siguen activas
• Buzones compartidos sin auditoría
• Configuraciones de compartición externa sin restricción
• Ausencia de políticas de DLP

En 90 segundos tienes visibilidad de los vectores de amenaza interna más comunes en tu tenant.

[Detecta amenazas internas en tu tenant →](/scan)