Del acceso legítimo al caos: La nueva cara del ransomware impulsada por insiders

13 de mayo de 2025

Diego Espitia, Telefónica Tech ColombiaHace poco atendimos un caso más de ransomware, de los cientos que ocurren a diario y de los varios que atendemos cada mes. Sin embargo, este tenía algo particular: al recopilar la evidencia, descubrimos que el atacante llevaba apenas dos días dentro de la red, y todas las acciones se habían ejecutado desde una cuenta administrativa a través de la VPN. Parecía conocer la infraestructura y los servicios a la perfección. Y debía conocerlos, porque el usuario comprometido pertenecía a uno de los líderes del área de TI, que además fue la misma persona que nos contactó para activar el protocolo de respuesta ante incidentes.

Este escenario se ha vuelto cada vez más recurrente en los últimos meses, revelando una tendencia en las amenazas a las que se exponen las organizaciones: los insiders o atacantes internos se están consolidando como una de las armas preferidas por los grupos cibercriminales para alcanzar sus objetivos financieros.

La relación entre insiders y ransomware es cada vez más evidente. Las estadísticas indican que, en 2024, el 47 % de los incidentes de ransomware se originaron a partir de credenciales legítimas que ya estaban en manos de los atacantes.

Estas credenciales se obtienen con campañas de reclutamiento dirigidas a empleados para facilitar el acceso a las redes corporativas desde dentro.

¿Por qué es tan peligroso?

A diferencia de los ataques tradicionales de ransomware —que son ruidosos y generan alertas automáticas— los ataques de tipo insider pueden ser completamente silenciosos. Pueden mantenerse latentes durante meses, incluso años, sin ser detectados por herramientas de monitoreo, y sin necesidad de ejecutar software malicioso de forma directa.

Es importante comprender que existen tres tipos de insiders, cada uno con sus características particulares. Además, no siempre corresponden a empleados o contratistas desleales, pero en todos los casos su actividad no genera alertas inmediatas:

  • Insiders comprometidos: son usuarios cuyas credenciales han sido robadas a través de prácticas riesgosas, como el uso de redes inseguras o sitios maliciosos. Estas cuentas se utilizan para robar información sensible o hacer reconocimiento de red. Al tratarse de credenciales legítimas, estas acciones suelen pasar desapercibidas.
  • Insiders negligentes: son usuarios que, por desconocimiento o falta de atención, realizan acciones que comprometen la seguridad de la organización. Por ejemplo, hacer clic en un enlace malicioso que descarga un malware sin archivo (fileless), el cual se ejecuta únicamente en la memoria RAM del equipo, evadiendo la mayoría de los controles tradicionales.
  • Insiders maliciosos: son los más peligrosos y técnicamente sofisticados. Son individuos que, de forma deliberada, descargan malware o colaboran con los atacantes, permitiendo su acceso a la red.
Los insiders constituyen una de los mayores amenazas en términos de fugas de información y ataques de ransomware.

¿Qué herramientas utilizan?

Una de las razones por las que estos atacantes pueden permanecer tanto tiempo sin ser detectados — incluso retirarse sin dejar rastro— es que utilizan el mismo software que encuentran dentro de las organizaciones. Esta técnica, conocida como "Living off the Land", se basa en el uso de herramientas legítimas del sistema operativo o de administración de TI para llevar a cabo acciones maliciosas sin levantar sospechas.

Por esta razón, no basta con contar con herramientas tradicionales de defensa y monitoreo. Se requiere una estrategia más robusta que incluya:

  • Análisis de comportamiento de usuarios (UBA/UEBA).
  • Controles basados en identidad.
  • Revisión continua de registros de autenticación.
  • Monitoreo de técnicas de exfiltración de información.
  • Integración con inteligencia de amenazas.
  • Entre otras herramientas enfocadas a anomalías en comportamientos.

Conclusión

En resumen, la amenaza que representan los insiders —sean maliciosos, negligentes o comprometidos— es excepcionalmente peligrosa debido a la confianza inherente asociada a las personas con acceso legítimo. Su conocimiento de los sistemas internos y la dificultad para diferenciar su comportamiento del uso normal complican enormemente su detección.

Este tipo de ataque permite acciones sigilosas, con potencial de generar daños severos tanto directos como indirectos. Por ello, representa una de las mayores amenazas en el contexto actual de fugas de información y ataques de ransomware.

Las organizaciones deben tomar conciencia de esta realidad y abordar los ataques internos como una amenaza prioritaria. Las soluciones de monitoreo de red son una herramienta clave para detectar comportamientos anómalos que podrían indicar la presencia de un insider o de un dispositivo comprometido. Así mismo, la aplicación de principios de mínimo privilegio, políticas robustas de gestión de contraseñas, y una formación continua en Ciberseguridad para todos los empleados, son pasos esenciales para mitigar el riesgo.