Durmiendo con el enemigo: el auge de la amenaza interna en el ciberdelito

No es muy conocido que Sudáfrica en su conjunto es muy vulnerable cuando se trata de ataques de ciberdelincuencia y con un puntaje de seguridad cibernética (CSS) de 57.71 para 2023, este país ocupa el puesto 59 (a la par de Costa Rica y Bangladesh) en el orden jerárquico de más seguro a inseguro. En comparación, Singapur se encuentra en el puesto 24 [CSS de 82,28], Tailandia en el 39, mientras que Namibia se encuentra en un 91 extremadamente inseguro [CSS de 19,72].

Según el informe de Interpol que identificó las principales amenazas cibernéticas en África en 2016, el delito cibernético le costó a la economía sudafricana $ 573 millones, más de los $ 500 millones que le costó a la economía de Nigeria.

Quizás aún más impactante es que la llamada amenaza interna está ganando ascendencia e impulso sobre las amenazas externas, un hecho que seguramente sorprenderá a la mayoría de las personas en este país.

En consecuencia, cuando un valioso amigo en la comunidad de seguridad cibernética me envió el enlace de un reciente ataque cibernético exitoso en Coca-Cola en los EE. importante para posibles lecciones a aprender.

Después de todo, la criminología comparada no es más que un ejercicio de gestión del aprendizaje intercultural. Dicho de otra manera, es casi seguro que sería beneficioso para nosotros como país en desarrollo en la periferia del desarrollo de conocimientos y habilidades de seguridad cibernética aprovechar las fallas y fallas de compañías como Coca-Cola en los EE. UU.

Por lo tanto, los hechos del caso son instructivos. Aunque Shannon Yu, ingeniera química principal de Coca-Cola, fue arrestada por el FBI recién en febrero de 2019, en agosto de 2017 ya estaba involucrada en el robo de secretos de su empleador en la sede de Coca-Cola en Atlanta, EE. UU. Yu fue sentenciado a 14 años de prisión en una instalación federal luego de ser condenado por robo de propiedad intelectual (esencialmente espionaje industrial) en mayo de 2022.

Aparentemente, lo que condujo a este escenario fue que Coca-Cola comenzó a reducir su personal y a despedir a su personal en la segunda mitad de 2017 y Yu, una mujer nacida en China, fue señalada como una de las afectadas.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) define la amenaza interna como: "La amenaza de que una persona interna utilice su acceso autorizado, intencionalmente o no, para dañar la misión, los recursos, el personal, las instalaciones, la información, el equipo, las redes o el Las amenazas internas se manifiestan de varias maneras: violencia, espionaje, sabotaje, robo y actos cibernéticos".

Claramente, el aumento de las amenazas internas se considera un riesgo para la seguridad nacional. ¿Por qué no es este el caso en Sudáfrica?

La misma fuente define a un iniciado como "cualquier persona que tenga o haya tenido acceso autorizado o conocimiento de los recursos de una organización, incluido el personal, las instalaciones, la información, los equipos, las redes y los sistemas".

En el contexto de la guerra comercial en curso entre China y los EE. UU., que Yu haya nacido en China claramente no es irrelevante. Con la elaboración de perfiles de científicos chinos en los EE. UU. sospechosos de espionaje industrial o colusión con el Partido Comunista de China y la atmósfera general de desconfianza entre los dos países, los tiempos son propicios para el robo de secretos comerciales, como los codiciados revestimientos dentro de las latas de bebidas de Coca-Cola. .

La desconfianza entre China y EE. UU. se debe en parte a la guerra en Ucrania y al supuesto globo espía chino derribado sobre suelo estadounidense. Pero aún más relevante que su país de nacimiento fue la negligencia de Coke, es decir, no revocar de inmediato el acceso de Yu a información confidencial y clasificada para reducir la amenaza de robo de datos por parte de los empleados que se marchan.

Según la Agencia de Defensa Cibernética de EE. UU.: "Las amenazas internas presentan un riesgo complejo y dinámico que afecta los dominios públicos y privados de todos los sectores de infraestructura crítica. Definir estas amenazas es un paso fundamental para comprender y establecer un programa de mitigación de amenazas internas".

Se podría presentar un caso para cancelar el acceso a la red de Yu, y empleados como ella, incluso antes de que se le comunique el conocimiento de su terminación. La Agencia de Defensa Cibernética define las "amenazas intencionales", como la planteada y ejecutada por Yu, un infiltrado malicioso, como:

acciones tomadas para dañar a una organización para beneficio personal o para actuar sobre un agravio personal. Por ejemplo, muchas personas con información privilegiada están motivadas para "vengarse" debido a una percepción de falta de reconocimiento (por ejemplo, promoción, bonificaciones, viajes deseables) o terminación. Sus acciones pueden incluir filtrar información confidencial, acosar a los asociados, sabotear equipos, perpetrar actos de violencia o robar datos de propiedad o propiedad intelectual con la falsa esperanza de avanzar en sus carreras.

Claramente, Yu entraba de lleno en esta categoría. Comenzó a descargar archivos y fotografiar material relacionado con el secreto más guardado de Coca-Cola: "un conjunto de recetas químicas detalladas para los revestimientos de plástico de 2 micras de espesor dentro de las latas de bebida que la Coca-Cola llenaba y vendía".

Sin el beneficio de este revestimiento, la bebida en el recipiente interactuaría con el material incrustado en la lata real y desestabilizaría y cambiaría el contenido de la bebida. Dicho de otra forma, el liner de plástico era fundamental para mantener la integridad de la bebida Coca-Cola.

Contra este breve trasfondo del caso, ¿qué lecciones podemos obtener del estudio de caso de Yu? Estos son que incluso las organizaciones con pilas de seguridad fuertemente fortificadas, como Coca-Cola, son vulnerables al robo de datos por parte de personas internas hostiles y existe la necesidad de controles de seguridad internos más sólidos, incluida la capacitación para la concientización de los empleados y la incorporación de una sólida cultura de seguridad.

Coca-Cola era vulnerable a este fastidioso problema que está creciendo en frecuencia a nivel mundial. ¿Cuánto más sería este el caso de las empresas en Sudáfrica que ni siquiera se toman en serio la amenaza interna debido a la falta de conciencia sobre este ángulo del problema?

Otra lección importante que podría derivarse de un estudio de caso del compromiso de Yu con Coca-Cola es la observación seminal de que ella no era una empleada de nivel de entrada sino parte de la alta dirección. Como ingeniera química principal, su puesto era esencialmente similar al de directora de tecnología de la empresa. Como tal, su terminación por parte de Coca-Cola habría implicado un paquete de reducción sustancial.

Sin embargo, esto no le impidió abalanzarse sobre Coca-Cola y robar todo lo que pudo para su futura carrera profesional como competidora de Coca-Cola en China, un país que, a todos los efectos, está en guerra con Estados Unidos. Imagine a un empleado robando secretos de propiedad de una entidad pública como el Banco de la Reserva o Eskom (como si esta empresa no tuviera suficiente con lo que lidiar en términos de criminalidad).

Si bien los empleados descontentos casi nunca infectan las redes con este tipo de malware, también vale la pena hacer referencia al acto de terrorismo conocido como "ransomware" en la literatura, donde "ciberdelincuentes bloquean los sistemas informáticos de hospitales e instituciones públicas, luego exigen dinero para restaurar la funcionalidad".

Piensa en Eskom. Estos tipos también pueden vender su botín en la Dark Web.

Otra excelente sugerencia es crear un ministerio de seguridad cibernética, como es el caso de Australia, Canadá, India y el Reino Unido, para proteger la integridad de la economía y fortalecer la infraestructura crítica del país contra los ataques cibernéticos.

El meollo de mi argumento es que la amenaza interna está aumentando y, a menudo, se subestima. Este es especialmente el caso en países como Sudáfrica, que es un estado fallido en muchos aspectos, aunque quizás no en el sentido clásico de la palabra. Esta es la razón por la que prologamos esta pieza con el título "durmiendo con el enemigo".

Es una ilusión imaginar a los ciberdelincuentes solo en China y Rusia. Los ciberdelincuentes también están integrados en la alta dirección.

Según el Informe de Evaluación de Amenazas Cibernéticas Africanas 2021 de la Dirección de Delitos Cibernéticos de Interpol: "Más del 90% de las empresas africanas operan sin los protocolos de seguridad cibernética necesarios".

Esto necesita cambiar. Con este fin, la Guía de mitigación de amenazas internas es un recurso valioso para comenzar a abordar el problema.

Sudáfrica, un país asolado por la corrupción y el conflicto, es propenso a los ataques cibernéticos y está listo para ser explotado en esta cuenta tan delicada. Internet ha abolido los límites y las fronteras.

Entonces, no subestimemos al enemigo con el que nos acostamos, por muy acogedora que pueda ser esa relación por el momento.

El Dr. Casper Lӧtter es un criminólogo de conflictos afiliado a la Facultad de Filosofía de la Universidad North West (Potchefstroom). Tiene un interés especial en el cibercrimen.

Las opiniones expresadas son las del autor y no reflejan necesariamente la política oficial o la posición de Mail & Guardian..