Durante años, las empresas han centrado sus defensas digitales en mantener alejados a los atacantes externos. Sin embargo, una investigación reciente demuestra lo peligroso de las amenazas que pueden provenir desde el interior. El analista de seguridad Michael Robinson dedicó 14 meses a examinar más de 15000 expedientes judiciales de Estados Unidos para identificar cómo actúan los llamados insiders: empleados, ejecutivos o excolaboradores que convierten su acceso privilegiado en un arma contra la organización.

El resultado fue un estudio basado en 1000 casos reales de mala conducta interna, abarcando sectores variados como la tecnología, las finanzas, la manufactura, el gobierno y la salud. Robinson presenta “verdades incómodas” sobre un fenómeno que la mayoría de las compañías prefiere no discutir. Según él, una de cada cuatro amenazas internas proviene de altos ejecutivos, y cerca del 20% corresponde a empleados de alto rendimiento que habían ascendido varias veces. No siempre son “trabajadores descontentos”, explica. “Algunos eran verdaderas estrellas que usaron su ambición en la dirección equivocada”.

Otro mito derribado por el estudio es que el riesgo termina cuando el empleado se va. En más de la mitad de los casos, los responsables habían renunciado voluntariamente, pero luego regresaron, con acceso aún vigente a servicios en la nube o contraseñas compartidas, para robar información o sabotear sistemas. Muchas empresas “respiran aliviadas” cuando alguien problemático se marcha, sin darse cuenta de que ese ex empleado puede seguir conectado a su infraestructura digital.

Además, la sofisticación de las fugas de información ha crecido. Los insiders combinan distintos métodos (correo electrónico, almacenamiento en la nube, USB, móviles) e incluso recurren a estrategias en grupo: en un 31% de los incidentes participaron dos o más empleados. Este comportamiento hace que las herramientas de detección fallen con frecuencia, los patrones se diluyen y la actividad “queda sepultada en el ruido de la red”, resume Robinson.

Para el analista, el principal obstáculo sigue siendo la negación corporativa. Muchas organizaciones operan bajo la mentalidad NIMO (“no en mi organización”, en inglés), convencidas de que pueden confiar plenamente en su gente. Pero Robinson es tajante: “No se puede gestionar el riesgo interno con optimismo”. Recomienda mayor retención de registros, controles continuos y, sobre todo, cortar el acceso de inmediato cuando alguien anuncia su salida. Cada minuto adicional es “una puerta abierta”, concluye.

Un problema de empresas y estados: cuando el insider se vuelve espía

Un ejemplo reciente demuestra hasta dónde puede llegar esta amenaza. Un exejecutivo australiano de una contratista de defensa estadounidense, se declaró culpable de robar y vender secretos comerciales valorados en 35 millones de dólares a un intermediario ruso de exploits cibernéticos. Entre 2022 y 2025, el empleado sustrajo al menos ocho componentes de software vinculados a la seguridad nacional y los transfirió de forma cifrada a cambio de criptomonedas. Con las ganancias adquirió propiedades, joyas y relojes de lujo, según el Departamento de Justicia de EE. UU.

El intermediario ruso proveía vulnerabilidades a diversos clientes, incluido el gobierno ruso. Este caso ilustra cómo incluso quienes ocupan puestos de máxima confianza pueden poner en riesgo la seguridad de un país entero. Si los datos de Robinson mostraban la amplitud del problema, este episodio es el mejor ejemplo de que el enemigo no siempre está afuera, y a veces, tiene acceso directo.