Insiders: La Amenaza Interna que Crece las Organizaciones

El Enemigo Está Adentro: Por Qué los Insiders Son Más Peligrosos que los Hackers Externos

En platicas con compañeros, profesionales y amigos del sector, hemos visto que en los últimos años, se han invertido fortunas en firewalls, IDS/IPS, WAF y todo tipo de defensas perimetrales. Pero hay un problema: ¿Qué pasa si el atacante ya está dentro?. No necesita romper las puertas. Tiene sus propias llaves y puede que tenga mas privilegios que uno mismo.

Los insiders representan una de las amenazas de ciberseguridad que menos hablamos pero que más cuesta a las organizaciones. Mientras los esfuerzos del CISO monitoreaba el perímetro, alguien con credenciales legítimas estaba copiando la base de datos a una USB personal.

¿Qué es un Insider?

Según la Agencia de Seguridad de Infraestructura de Cibernética de Estados Unidos (CISA), un insider es alguien en quien la organización confía información confidencial, privilegios de acceso o conocimientos que podrían perjudicar a la organización si se utilizaran indebidamente.

Algunos roles o escenarios pudieran ser los siguientes:

Empleados actuales y antiguos
Contratistas y consultores
Socios comerciales
Proveedores de servicios tecnológicos
Familiares o amigos con acceso físico

La diferencia clave no es la situación laboral, sino el nivel de acceso y confianza otorgado.

Un exempleado con credenciales activas es un insider, tanto como un gerente actual con acceso a datos o sistemas financieros.

Tipos de Insiders

Aquí es donde la mayoría de las organizaciones fallan en su comprensión. No todos los insiders son villanos deshonestos esperando su momento.

1. Insiders Negligentes (por lo regular, provocan la mayoría de los incidentes)

Son los empleados “normales”. Bien intencionados. Sin intenciones maliciosas pero por algún error u omisión humana provocan daño de igual manera.

Ejemplos comunes:

Anotar contraseñas en post-its pegados al monitor
Hacer clic en un enlace de phishing que parece de “IT”
Compartir accidentalmente un archivo confidencial a toda la empresa, a clientes o proveedores
Usar una computadora personal para acceder a datos corporativos
Dejar la sesión abierta en una cafetería mientras va al baño
Conectar un dispositivo USB desconocido a su laptop
Almacenar datos sensibles sin cifrar en su teléfono personal
Usar la misma contraseña personal en los diferentes servicios del trabajo

La mayoría de las veces estas negligencias pasan desapercibidas durante meses o nunca nos damos cuenta hasta que provocan un incidente mayor. Un archivo perdido aquí. Un documento compartido mal allá. Sin alarmas ruidosas. Solo fugas constantes de información .

2. Insiders Maliciosos

Estos sí son intencionales, y sus motivaciones pueden variar:

Ganancia económica (89%): Vender datos a competidores, revelar secretos de negocio, robar identidades
Venganza: Despido reciente, negación de ascenso, conflicto laboral
Ideología: Creencias políticas, activismo, denunciante (whistleblower)
Espionaje corporativo o estatal: Competencia directa, gobiernos extranjeros

Aunque son menos comunes (25%), son más caros y más ruidosos. Muchas brechas mediáticas fueron iniciadas por insiders maliciosos.

3. Insiders Comprometidos

Empleados que fueron hackeados externamente pero sus credenciales robadas se reutilizan como acceso interno.

Ejemplos:

Phishing dirigido a ejecutivos (spear phishing) → credenciales robadas
Malware en la laptop personal → acceso lateral a la red corporativa
Contraseña reutilizada en foro hackeado → movimiento lateral

4. Insiders Cooptados (Manipulados)

Un atacante externo recluta a un empleado mediante:

Chantaje o extorsión
Soborno gradual
Ingeniería social sofisticada
Amenazas a su familia

El empleado no es realmente un “insider malicioso” — es más bien una víctima que se convirtió en atacante bajo coacción.

El Nuevo Problema: Shadow AI e Insiders

En 2025 y 2026 la IA trajo un giro inesperado: los empleados están usando IA generativa sin control de IT.

La Brecha Invisible

Gran parte de las organizaciones creen que GenAI ha cambiado cómo los empleados acceden y comparten información, pero muchas veces sin control, sin gestión, sin políticas o algún mecanismo que limite que podemos compartir con la IA

Patrones de riesgo detectados:

15% de empleados acceden regularmente a herramientas GenAI en dispositivos corporativos cada 15 días
72% usa cuentas de correo personales para acceder a ChatGPT, Claude, etc. (sin autenticación corporativa)
17% usa cuentas corporativas pero sin integración de control centralizado

¿Qué significa esto?

En entornos de fabricas de software, un ejemplo puede ser, que desarrollador copia 500 líneas de código propietario en ChatGPT para “depurarlo”. El código entrena el modelo de IA. El modelo es accesible a competidores porque se compartió y se creó un link publico.

Otro empleado maneja por error 50.000 registros de clientes a un Claude con sesión iniciada desde su cuenta personal de Google. La información está ahora en los servidores de Anthropic. El cumplimiento normativo es ahora un problema.

Las herramientas de DLP (Prevención de Pérdida de Datos) tradicionales no ven esto. GenAI se ejecuta a través de navegadores y APIs. No está en la red corporativa.

Insiders Norcoreanos: La “Prueba de Kim Jong Un” y el Esquema de Trabajadores IT Falsos

En abril de 2026, la comunidad de ciberseguridad, descubrió algo asombrosamente simple pero devastadoramente efectivo para exponer agentes norcoreanos infiltrados:

Pedirles que insulten a Kim Jong Un. Y lo mejor, funcionó

Un entrevistador hizo viral que durante un proceso de selección para una posición remota le pide a un candidato que repita una frase negativa sobre Kim Jong-Un

El candidato, identificado como “Taro Aikuchi”, un supuesto profesional asiático con experiencia en IT, se queda visiblemente incómodo. Se rehúsa. Intenta cambiar de tema. Finalmente sale de la entrevista.

Minutos después, la videollamada simplemente termina.

La psicología detrás es simple pero efectiva

Los operativos norcoreanos viven bajo condicionamiento ideológico extremo desde el nacimiento. Criticar al líder supremo Kim Jong Un, incluso de manera ficticia o en broma, activa una barrera psicológica profunda interna, e incluso pueden estar monitoreados y así son propensos a castigos severos

No es que no puedan decirlo por miedo racional al castigo (están fuera del país). Es que su condicionamiento mental es tan profundo que resulta casi imposible hacer que lo hagan voluntariamente.

Incluso cuando saben que es parte de un “test” de entrevista, incluso en privado, incluso en una llamada remota con un extranjero, la barrera mental persiste.