AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Despidos Masivos: Una Brecha Abierta en la Seguridad por Cuentas Dormidas y Empleados Descontentos**

admin

### Introducción

En el actual contexto económico y tecnológico, los despidos masivos están convirtiéndose en una constante en empresas de todos los sectores, desde la banca hasta la tecnología. Sin embargo, este tipo de reestructuración organizativa va mucho más allá de los impactos en recursos humanos: abre nuevas y peligrosas brechas de seguridad que los equipos de ciberseguridad no pueden permitirse ignorar. Las cuentas de usuario inactivas y el potencial de empleados descontentos se consolidan como vectores clave de riesgo en el panorama actual de amenazas.

### Contexto del Incidente o Vulnerabilidad

Durante el primer semestre de 2024, empresas multinacionales y startups tecnológicas han reducido sus plantillas en cifras que alcanzan, en algunos casos, hasta el 20% de su personal global. Estos despidos, motivados por ajustes económicos y automatización, han incrementado exponencialmente el número de cuentas de usuario obsoletas y, a menudo, mal gestionadas en los sistemas corporativos. Según un informe de Verizon DBIR 2024, el 25% de los incidentes internos implican cuentas no deshabilitadas tras la salida del empleado.

Al mismo tiempo, la insatisfacción y el resentimiento entre los empleados despedidos o aquellos que temen por su puesto alimentan el fenómeno del “insider threat”, un riesgo que, según ENISA, ya representa un 34% de los incidentes de seguridad reportados en la Unión Europea.

### Detalles Técnicos

Las cuentas de usuario dormidas o inactivas se convierten en un blanco fácil para atacantes externos y empleados malintencionados. El uso indebido de credenciales, accesos privilegiados sin revocar y la falta de seguimiento en la desactivación de cuentas son vectores recurrentes.

– **CVE y vulnerabilidades asociadas**: No existe una CVE específica para cuentas dormidas, pero se relaciona directamente con el abuso de privilegios y la explotación de cuentas huérfanas, como se describe en CVE-2021-42278 y CVE-2021-42287, que permiten la escalada de privilegios a través de cuentas de servicio o usuarios mal gestionados en Active Directory.
– **Vectores de ataque**: Entre los métodos más comunes se encuentran el uso de herramientas como Metasploit o Cobalt Strike para explotar credenciales filtradas (técnicas T1078 y T1087 del framework MITRE ATT&CK), la reutilización de contraseñas y la explotación de sesiones abiertas en sistemas críticos.
– **Indicadores de compromiso (IoC)**: Accesos inusuales a sistemas tras la salida formal de un trabajador, movimientos laterales usando cuentas de servicios antiguas, creación o modificación sospechosa de cuentas y cambios en permisos administrativos.
– **TTPs**: Los actores de amenazas, tanto internos como externos, aprovechan la falta de procesos automatizados de desprovisionamiento, la ausencia de políticas de ciclo de vida de cuentas y la deficiente monitorización de logs de acceso.

### Impacto y Riesgos

El impacto de estas vulnerabilidades es significativo. Un solo acceso no autorizado a una cuenta con privilegios puede derivar en la exfiltración de datos sensibles, sabotaje de sistemas o incluso en ataques de ransomware. Según IBM Cost of a Data Breach Report 2023, el coste medio de una brecha de datos originada por un insider supera los 4,7 millones de dólares, un 20% más alto que otras causas.

Además, en términos regulatorios, el incumplimiento de obligaciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2 puede acarrear sanciones multimillonarias y la pérdida de confianza de clientes y socios.

### Medidas de Mitigación y Recomendaciones

Los expertos en ciberseguridad recomiendan una serie de buenas prácticas para mitigar el riesgo asociado a cuentas dormidas y amenazas internas:

– **Automatización del ciclo de vida de identidad**: Implementar soluciones de Identity and Access Management (IAM) capaces de desactivar cuentas y revocar accesos en tiempo real tras el cese del empleado.
– **Revisión periódica de cuentas y permisos**: Auditorías mensuales de cuentas activas, especialmente de privilegios elevados y cuentas de servicio.
– **Monitorización de actividad anómala**: Uso de herramientas SIEM para detectar patrones de acceso inusuales y correlacionar eventos relacionados con cuentas potencialmente comprometidas.
– **Formación y concienciación**: Programas de sensibilización para el personal, incluidos los procesos de salida, sobre la importancia de la seguridad y las implicaciones legales de accesos no autorizados.
– **Seguridad Zero Trust**: Aplicar el principio de mínimo privilegio y segmentar los accesos para reducir el radio de acción en caso de compromiso.

### Opinión de Expertos

María Gómez, CISO de una entidad financiera española, señala: “Los despidos masivos no solo suponen un reto desde el punto de vista operativo, sino que abren la puerta a uno de los riesgos más subestimados: el insider threat. La automatización en la gestión de identidades y la monitorización continua son ya imprescindibles”.

Por su parte, el analista de amenazas Pablo Rodríguez advierte: “Hemos detectado un aumento del 15% en incidentes internos tras olas de despidos. El vector de cuentas dormidas es el preferido para movimientos laterales y ataques persistentes avanzados”.

### Implicaciones para Empresas y Usuarios

Para las empresas, la gestión deficiente de cuentas tras despidos puede traducirse en graves incumplimientos normativos, pérdidas económicas y daños reputacionales irreparables. Los usuarios, especialmente aquellos con acceso privilegiado, deben ser conscientes de que sus credenciales pueden ser objetivo de ataques, incluso después de abandonar la organización.

La tendencia apunta a que la automatización y la visibilidad en la gestión de identidades serán factores diferenciales en la resiliencia frente a estas amenazas, marcando la diferencia entre una organización proactiva y otra reactiva ante incidentes.

### Conclusiones

Los despidos masivos, lejos de ser un asunto meramente de recursos humanos, representan una amenaza tangible y creciente para la ciberseguridad corporativa. La proliferación de cuentas dormidas y el riesgo de empleados descontentos requieren una respuesta integral, que combine tecnología, procesos y cultura organizativa. Solo así podrán las empresas cumplir con la normativa, proteger sus activos críticos y mantener la confianza de sus clientes en un entorno cada vez más hostil.

(Fuente: www.darkreading.com)