No te engañaron, sino que incorporaste al ataca...

Cuando contratan a los atacantes: la nueva crisis de identidad actual

¿Qué pasa si el ingeniero estrella que acabas de contratar no es realmente un empleado, sino un agresor disfrazado? No se trata de suplantación de identidad, sino de infiltración mediante la incorporación.

Conozca a «Jordan de Colorado», que tiene un currículum sólido, referencias convincentes, una verificación de antecedentes limpia e incluso una huella digital que lo acredita.

El primer día, Jordan inicia sesión en el correo electrónico y asiste a la reunión semanal, donde recibe una cálida bienvenida por parte del equipo. En cuestión de horas, tienen acceso a repositorios, carpetas de proyectos e incluso a algunas claves de desarrollo copiadas y pegadas para usarlas en sus proyectos.

Una semana después, las entradas se cierran más rápido y todos quedan impresionados. Jordan hace observaciones perspicaces sobre el medio ambiente, la tecnología, qué herramientas están mal configuradas y qué aprobaciones están aprobadas.

Pero Jordan no era Jordan. Y esa bienvenida de alfombra roja que el equipo dio fue el equivalente a una llave maestra, entregada directamente al adversario.

Del phishing a las contrataciones falsas

La estafa moderna no es un enlace malintencionado en tu bandeja de entrada; es un inicio de sesión legítimo dentro de tu organización.

Si bien el phishing sigue siendo una amenaza grave que sigue creciendo (especialmente con el aumento de los ataques impulsados por la inteligencia artificial), es una vía de ataque muy conocida. Las organizaciones llevan años reforzando las pasarelas de correo electrónico, capacitando a los empleados para que reconozcan y denuncien el contenido malicioso y realizando pruebas internas de suplantación de identidad.

Nos defendemos de la avalancha de correos electrónicos de suplantación de identidad a diario, ya que ha habido un La suplantación de identidad ha aumentado un 49% desde 2021 , y un aumento de 6,7 veces en el uso de grandes modelos lingüísticos (LLM) para generar correos electrónicos con atractivos convincentes. Cada vez es más fácil para los atacantes ejecutar ataques de suplantación de identidad.

Pero Jordan no entró así. A pesar de que numerosas defensas apuntaban al correo electrónico, Jordan consiguió entrar con el papeleo de recursos humanos.

¿Por qué el fraude en la contratación es un problema ahora?

La contratación remota ha aumentado rápidamente en los últimos años. Las industrias han descubierto que el trabajo 100% remoto es posible y que los empleados ya no necesitan oficinas con perímetros físicos (y fáciles de defender). Además, existen recursos talentosos en cualquier parte del planeta. La contratación remota significa que las organizaciones pueden beneficiarse de un grupo de contratación más amplio, con la posibilidad de obtener más calificaciones y habilidades. Sin embargo, la contratación remota también elimina las protecciones intuitivas y naturales de las entrevistas presenciales, lo que abre una nueva oportunidad para los actores de amenazas.

Hoy, la identidad es el nuevo perímetro. Y eso significa que su perímetro puede ser falsificado, suplantado o incluso generado por IA. Las referencias se pueden falsificar. Las entrevistas pueden ser guiadas o delegadas. Se pueden generar rostros y voces (o profundamente fingido ) por AI. Un adversario anónimo ahora puede aparecer de manera convincente bajo el nombre de «Jordan de Colorado» y conseguir que una organización le entregue las llaves del reino.

Fraude en la contratación en la naturaleza: agentes de «contratación» remotos de Corea del Norte

La amenaza del fraude en la contratación remota no es algo que veamos aparecer en el horizonte o imaginemos en historias de miedo alrededor de una fogata.

UN informe publicado en agosto de este año reveló más de 320 casos de agentes norcoreanos que se infiltraron en empresas haciéndose pasar por trabajadores de TI remotos con identidades falsas y currículos pulidos. Ese único ejemplo ha registrado un aumento del 220% año tras año, lo que significa que esta amenaza está aumentando rápidamente. Lo que significa que esta amenaza está aumentando rápidamente.

Muchos de estos agentes norcoreanos utilizaron perfiles generados por IA, deepfakes y manipulación de la IA en tiempo real para aprobar entrevistas y protocolos de investigación. En un caso se trató incluso de cómplices estadounidenses que explotaban «granjas de ordenadores portátiles» para proporcionar a los agentes instalaciones físicas estadounidenses, máquinas propias de la empresa y direcciones e identidades nacionales. Gracias a este plan, lograron robar datos y devolver los salarios al régimen de Corea del Norte, sin ser descubiertos.

Tampoco se trata de acrobacias hacktivistas aisladas. Las investigaciones han identificado que se trata de una campaña sistemática, que a menudo se dirige a las empresas incluidas en la lista Fortune 500.

El problema del castillo y el foso

Muchas organizaciones responden corrigiendo en exceso: «Quiero que toda mi empresa esté tan restringida como mi recurso más sensible».

Parece sensato, hasta que el trabajo se ralentiza a pasos agigantados. Sin controles detallados que permitan a las políticas de seguridad distinguir entre los flujos de trabajo legítimos y la exposición innecesaria, la simple aplicación de controles rígidos que bloqueen todos los aspectos de la organización frenará la productividad. Los empleados necesitan tener acceso para hacer su trabajo. Si las políticas de seguridad son demasiado restrictivas, los empleados buscarán soluciones alternativas o pedirán excepciones continuamente.

Con el tiempo, el riesgo aumenta a medida que las excepciones se convierten en la norma.

Esta colección de excepciones internas lo empuja lentamente hacia el enfoque de «el castillo y el foso». Las murallas están fortificadas por fuera, pero abiertas por dentro. Y si les das a los empleados la llave para abrir todo lo que hay dentro para que puedan hacer su trabajo, también se la darás a Jordania.

En otras palabras, cerrar todo de forma incorrecta puede ser tan peligroso como dejarlo abierto. Una seguridad sólida debe tener en cuenta el trabajo del mundo real y adaptarse a él; de lo contrario, se derrumba.

Cómo lograr un estado sin privilegios permanentes y bloquear las nuevas contrataciones fraudulentas sin tener que hacer concesiones

Todos hemos oído hablar de la confianza cero: nunca confíe, siempre verifique. Esto se aplica a todas las solicitudes, en todas las ocasiones, incluso después de que alguien ya esté «dentro».

Ahora, con nuestro nuevo perímetro, tenemos que ver este marco de seguridad a través de la lente de la identidad, lo que nos lleva al concepto de sin privilegios permanentes (ZSP) .

A diferencia del modelo de castillo, que bloquea todo de forma indiscriminada, un estado ZSP debe construirse en torno a la flexibilidad con barandillas:

• Sin acceso permanente de forma predeterminada - La base de referencia para cada identidad es siempre el acceso mínimo requerido para funcionar.
• JIT (justo a tiempo) + JEP (privilegio suficiente) - - El acceso adicional adopta la forma de un permiso pequeño y limitado que existe solo cuando es necesario, durante el tiempo limitado necesario, y luego se revoca cuando finaliza la tarea.
• Auditoría y rendición de cuentas - Cada concesión y revocación se registra, creando un registro transparente.

Este enfoque cierra la brecha dejada por el problema del castillo. Garantiza que los atacantes no puedan confiar en un acceso persistente y, al mismo tiempo, que los empleados puedan seguir trabajando con rapidez. Si se hace bien, un enfoque de ZSP alinea la productividad y la protección en lugar de forzar la elección entre ambas. Estas son algunas medidas tácticas más que los equipos pueden tomar para eliminar el acceso permanente en toda la organización:

La lista de verificación de cero privilegios permanentes

Inventario y líneas de base:

• Consolide todas las identidades (empleados, contratistas, cuentas de servicio) en un solo lugar.
• Establezca mínimos basados en roles.
• Elimine los derechos pendientes, heredados y sobreaprovisionados.

Solicitar — Aprobar — Eliminar:

• Permite a los usuarios solicitar acceso desde su lugar de trabajo (Slack, Teams o un portal).
• Automatice las aprobaciones o gestione flujos de trabajo personalizados con un contexto completo: quién, por qué, alcance y duración.
• Asegúrese de que las aprobaciones otorguen el acceso suficiente y justo a tiempo.
• Revoca automáticamente el acceso cuando la tarea esté completa.
• Barandas por diseño:
• Imponga sesiones con plazos fijos, alcances de privilegios mínimos y procedimientos controlados para romper obstáculos con límites estrictos.
• Ofrezca paquetes preaprobados para tareas comunes, de modo que el acceso se realice sin problemas y los flujos de trabajo no se interrumpan.

Auditoría y evidencia completas

• Registra y firma cada acción de concesión, cambio y revocación.
• Mantenga pruebas limpias y exportables para las revisiones, las investigaciones de incidentes y el cumplimiento.

Pasar a la acción: comience poco a poco, gane rápido

Una forma práctica de empezar es poner a prueba el ZSP en su sistema más sensible durante dos semanas. Mida cómo fluyen las solicitudes de acceso, las aprobaciones y las auditorías en la práctica. Los éxitos rápidos en este ámbito pueden impulsar una adopción más amplia y demostrar que la seguridad y la productividad no tienen por qué estar reñidas.

BeyondTrust Entitle, una solución de gestión de acceso a la nube , permite un enfoque de ZSP, ya que proporciona controles automatizados que mantienen siempre todas las identidades en el nivel mínimo de privilegios. Cuando el trabajo exige más, los empleados pueden recibirlo cuando lo soliciten mediante flujos de trabajo auditables y de duración limitada. Se concede el acceso justo a tiempo y, después, se elimina.

Al tomar medidas para poner en práctica los privilegios permanentes, usted permite a los usuarios legítimos moverse con rapidez, sin dejar los privilegios persistentes a la espera de Jordania.

¿Estás listo para empezar? Haga clic aquí para obtener una evaluación gratuita de su infraestructura de identidad por parte del equipo rojo .

Nota: Este artículo ha sido escrito y contribuido de manera experta por David van Heerden, gerente sénior de marketing de productos. David van Heerden, que se autodenomina nerd generalista, metalero y aspirante a esnob cinematográfico, ha trabajado en TI durante más de 10 años, perfeccionando sus habilidades técnicas y desarrollando una habilidad para convertir conceptos complejos de TI y seguridad en temas claros y orientados al valor. En BeyondTrust, ha asumido el puesto de director sénior de marketing de productos y ha dirigido la estrategia de marketing de derechos.