Perfil del insider II. Características

Publicado por buguroo - 14/05/2019

Siguiendo con el post anterior, en el que mostrábamos las tipologías de insiders existentes, ahora vamos a tratar de profundizar en una perfilación más psicológica de estos individuos. En primer lugar, hay que decir que la investigación científica con este tipo de muestra es complicada, por razones obvias, algo por otro lado muy habitual cuando se trata de estudiar a criminales y delincuentes. 

También es necesario indicar que, igual que no podemos hablar de un único y general tipo de insider, tampoco es posible identificar un único perfil psicológico o psicocriminológico, pues cada tipología de insiders nos dibujará unas características propias. No obstante, en este post vamos a perfilar las tipologías que estarían relacionadas con la categoría general de insider intencionado (véase post anterior).

 

RASGOS PSICOLÓGICOS

Si tuviéramos que identificar unas características más o menos comunes a todo tipo de insider intencionado como “patrón básico”, podríamos hablar de varios rasgos psicológicos:

Introversión

El insider suele relacionarse con la dimensión de personalidad introversión, tendiendo a ser una persona individualista, tranquila, que disfruta de actividades solitarias y no requiere de constante estimulación externa. Tiene una buena capacidad de concentración y puede trabajar durante bastante tiempo en tareas de alto rendimiento cognitivo. Es una característica que, en cierta forma, se relaciona con el perfil del programador o de los profesionales del ámbito informático.

Narcisismo

El insider también da muestra de un rasgo psicológico muy relacionado con el comportamiento delictivo y con personas problemáticas, como es el narcisismo. Suele ser una persona con una imagen más o menos distorsionada de uno mismo, con una visión muy egocéntrica del mundo, que se ve a sí mismo con una valía, imagen y atractivo por encima de los demás. Sobrestima su propia autovaloración, lo que le hace sentir que es (o debería ser) fuente de admiración por parte de los demás. Estas características del narcisismo no suponen en sí mismas mayor problema que el que pueda suponer sus relaciones sociales, pues a veces es fruto de cierto rechazo por ese sentimiento de omnipotencia y egocentrismo que muestra. Nos obstante, este rasgo psicológico puede ser más problemático cuando se acompaña de los rasgos que se muestran a continuación.

Falta de empatía

Se caracterizaría por una incapacidad para reconocer y experimentar lo que los otros sienten y una especial dificultad para captar las características propias de las personas con las que se relacionan. En definitiva, la persona con falta de empatía no es capaz de ponerse en el lugar del otro, por lo que no se sentirá mal si hace daño o realiza conductas que afecten negativamente a otras personas. En este caso, el insider puede parecer impasible ante el daño que pueda ocasionar a la empresa o a otros compañeros, lo que no inhibirá comportamientos destructivos o de gran riesgo para terceros.

Intolerancia a la crítica

Relacionado también con ese narcisismo, otro rasgo que puede relacionarse con el insider sería una hipersensibilidad a la evaluación de los demás. Alguien que se considera a sí mismo por encima de los demás gestiona muy mal las críticas, no tolera que alguien pueda minusvalorar su persona o desarrollo profesional. Esto, en el caso que nos ocupa, es un elemento que puede generar conflictos en el terreno laboral, lo cual puede precipitar situaciones de despido o venganza que estarían detrás de los ataques del insider. A veces, esa preocupación excesiva por lo que piensen los demás le lleva a generar sentimientos de envidia contra otras personas que piensa que les roba protagonismo o le resta relevancia. Este es otro factor que, evidentemente, puede generar conflictos laborales.

Deshonestidad

Una persona que tiene altos niveles de narcisismo y falta de empatía posiblemente verá en los demás a objetos a los que puede manipular y engañar para obtener beneficio. Muchos contextos, también el laboral, ofrecen oportunidades para conseguir recompensas, aunque eso implique tener que engañar, robar y estafar a la empresa o a compañeros. Además, el deshonesto racionaliza su comportamiento, se justifica y se convence a sí mismo de que lo que hace no es tan malo u obedece a una necesidad o circunstancia exculpatoria. El insider vengativo o el insider aprovechado se dice a sí mismo que venden los datos de su empresa porque han sido injustamente despedidos o porque la empresa no les ha pagado lo que se merece. Esta racionalización aplaca el sentimiento de culpa o el rechazo que le pueda suponer su conducta, lo que permite poder realizarla con autoridad moral e incluso mantenerla en el tiempo.

Codicia

En relación con lo anterior, este rasgo nos muestra a una persona muy enfocada a los beneficios, cuya cabeza es una calculadora de recompensas que solo muestra lealtad a sí mismo. El problema del codicioso es que siempre quiere más y el rendimiento económico está por encima del grupo, del compromiso y de las normas. Este tipo de personas suelen cambiar continuamente de trabajo, cuando están en una empresa están pensando en otra que le pueda ofrecer algo más de dinero o un puesto de mayor salario. Esto le lleva a moverse solo por el lucro, lo cual es muy peligroso en el contexto de insiders, pues son los que están siempre dispuestos a vender información o datos a un tercero.

Pasivo-agresivo

Esta intolerancia a la crítica de la que hablábamos anteriormente genera respuestas de ira y venganza dirigidas contra la fuente de esa crítica, sea un compañero o un superior. Pero esa ira o venganza no es siempre de forma física o violenta, a veces se refleja de forma muy sutil y sibilina por medio de sabotajes y descuidos accidentales que generan daños y pérdidas. De tal forma que, podemos tener un insider descuidado que pierde por descuido accidental una memoria externa con información privilegiada de la empresa, o podemos estar ante un insider vengativo que hace creer que la ha perdido por descuido, cuando lo ha hecho adrede. Podremos descubrir a este insider cuando se sumen muchos descuidos, cuando repetidamente cometa errores o siempre esté envuelto en accidentes relacionados con la pérdida de información.

 

MODUS OPERANDI

A continuación, tratamos de identificar algunos elementos básicos de Modus Operandi (MO) más utilizado por estos insiders. No vamos a mostrar aspectos técnicos o métodos informáticos utilizados, sino aquellos elementos del MO que pueden ser más visibles e identificado por compañeros o superiores de estos insiders.

En primer lugar, el insider antes de ser un hacker interno es un empleado problemático. La mayoría de los insider antes de cometer su delito han llamado ya la atención de sus superiores o compañeros por problemas en el trabajo. Disputas, falta de disciplina, quejas constantes y mal ambiente suelen ser antecedentes de este tipo de personas, lo cual se explica por los rasgos psicológicos que hemos comentado anteriormente.

En segundo lugar, el insider suele trabajar en solitario, es poco usual encontrar equipos de insiders dentro de la misma empresa o institución. Es posible que tengan un tercero en el exterior que se aproveche de su ataque o que lo dirija, como en el caso del insider topo, pero dentro de la empresa manejará un MO solitario. A veces trabajar fuera del horario de oficinas, viene antes o se va después del resto de sus compañeros, se preocupa por conocer procesos, sistemas e información que no son de su competencia y preferirá técnicas silenciosas o sigilosas de hacking.

En tercer lugar, la planificación versus la impulsividad de su MO nos va a permitir relacionarlo con una tipología de insider. El insider aprovechado y el insider topo presentarán un MO más planificado y premeditado en cuanto a tiempo, técnica, nivel de penetración…en comparación con un insider vengativo o un insider desleal. Estos últimos van a ser más emocionales y explosivos, pudiendo incluso actuar horas después de haber sido despedido o de un conflicto grave. Esto va a afectar a la autoseguridad tomada por el propio insider, que va a ser menor y más descuidada en el caso de estas dos últimas tipologías.

Cuando ocurra un ataque cibernético en una empresa y se sospeche que ha podido ser de origen interno, es recomendable analizar los últimos seis meses de la empresa para tratar de localizar personal despedido que haya tenido algún tipo de conflicto más o menos grave con la empresa o con las personas más afectadas por ese ataque. En este caso, el Departamento de RR.HH será una fuente de información de gran ayuda que tendrá que estar en coordinación con el Departamento de Seguridad para este tipo de situaciones.

El ataque estará relacionado con el nivel de competencias del empleado. Dentro del MO utilizado por el insider, sus comportamientos y capacidades se verán condicionadas por las habilidades y conocimientos que posea. Por poner un ejemplo no cibernético, un empleado que trabaje en el almacén y que quiera robar a su empresa, probablemente podrá robar una mercancía de ese almacén, pero no podrá alterar un balance contable o falsificar una factura porque no tendrá acceso y conocimientos para hacerlo. No obstante, hay que tener también en cuenta que el insider puede tratar de manipular el ataque para dirigir las sospechas hacia otras personas o departamentos, aunque siempre se verá limitado por sus niveles de acceso o de conocimiento. Usando el mismo ejemplo anterior, un contable puede falsificar una factura, pero también puede robar en el almacén si tiene acceso a él. Esto quiere decir que los empleados de mayor nivel, con mayor conocimiento y capacidades, pueden usar una mayor amplitud de métodos de ataque en su MO.

Por tanto, resulta necesario analizar el cómo, el dónde, el cuándo y el qué del ataque para poder filtrar correctamente a los posibles sospechosos que están relacionados con él. El insider, como cualquier otro hacker, no puede dejar de ser como es cuando ataca, no puede deshacerse de sus características de personalidad, de sus rasgos psicológicos, de sus condicionantes personales, sociales (laborales) y de sus circunstancias. Una técnica de intrusión puede ser idéntica en dos ataques distintos, pero más allá de esa técnica, debemos recoger rastros que nos lleven a estos indicadores personales que nos permitan individualizar al atacante. Este es el nuevo enfoque de prevención y lucha contra los delitos cibernéticos, el CyberProfiling.

Temas: Psicología cibercriminal, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Un nuevo troyano bancario “BANKER RTC PORTAL” ataca a bancos latinoamericanos y europeos

read more

Hackeando el cerebro I: Principios de persuasión

read more

Cryptojacking y ransomware: Escenarios de ciberamenazas en 2019

read more