Seamos sinceros, cuando la mayoría de la gente piensa en un "ciberataque", se imagina a hackers encapuchados atacando cortafuegos desde un sótano oscuro. ¿Pero la realidad? Es mucho menos cinematográfica y mucho más peligrosa.

Lo cierto es que, en ocasiones, la amenaza ya está registrada.

Eso es lo que hace que las amenazas internas sean tan devastadoras. No derriban las puertas, sino que las atraviesan. Como ocurrió con Coinbase.

La filtración de Coinbase: cuando el acceso interno se volvió peligroso

En una revelación alarmante que ha sacudido las industrias fintech y de criptomonedas, Coinbase, la mayor plataforma de intercambio de criptomonedas de EE. UU., se convirtió en blanco de un sofisticado caso de espionaje corporativo. A diferencia de los ciberataques convencionales que se basan en exploits técnicos, este incidente puso de manifiesto un vector más insidioso: la vulnerabilidad humana.

En el caso de Coinbase, la brecha no se originó en el código ni en los servidores, sino en sus canales de atención al cliente, concretamente, contratistas extranjeros con acceso a herramientas SaaS internas. En lugar de usar métodos de piratería tradicionales, los atacantes emplearon una táctica más engañosa: sobornaron a contratistas extranjeros de atención al cliente para obtener acceso a los sistemas internos de Coinbase. Estos empleados maliciosos proporcionaron a los atacantes datos confidenciales de los clientes, como nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de la Seguridad Social parciales e imágenes de documentos de identidad oficiales. Dado que tenían acceso legítimo y sin supervisión a los sistemas internos y a las herramientas SaaS, nadie cuestionó nada hasta que el daño ya estaba hecho. Los atacantes utilizaron entonces estos datos como medio de presión, exigiendo un rescate de 20 millones de dólares bajo la amenaza de filtrar o vender la información en la dark web.

Este incidente expuso información confidencial de casi 97,000 usuarios y subrayó una cruda realidad: las amenazas internas siguen siendo uno de los desafíos más peligrosos y difíciles en materia de ciberseguridad hoy en día.

Acceso sin visibilidad: la brecha de seguridad silenciosa de la empresa moderna

En la era de las aplicaciones en la nube y el teletrabajo, el nuevo perímetro de seguridad no es tu red, sino tu personal. La filtración de Coinbase pone de manifiesto una tendencia creciente en ciberseguridad: el aumento de las amenazas internas, especialmente entre contratistas externos y personal de soporte.

A medida que las defensas perimetrales, como los firewalls y los sistemas de detección de intrusos, se han vuelto más robustas, los atacantes están centrando su atención en las personas dentro de la organización que ya tienen acceso. Estos infiltrados no necesitan piratear los sistemas; ya están dentro de la organización. Ya sea por codicia, coerción, ideología o desesperación, las amenazas internas son mucho más difíciles de detectar y detener mediante medidas de seguridad tradicionales.


Terceros: Están en sus sistemas, pero fuera de su radar

La empresa moderna se basa en contratistas, freelancers, equipos de soporte externalizados y proveedores externos. Estos trabajadores suelen necesitar acceso a las mismas herramientas que utiliza su personal a tiempo completo: plataformas SaaS como Salesforce, Zendesk, Notion, Google Workspace y más. La mayoría de las plataformas SaaS, si bien ofrecen numerosas funciones, carecen de controles de seguridad nativos para detectar o bloquear comportamientos de riesgo una vez que el usuario inicia sesión. Una vez que un contratista obtiene acceso, las defensas perimetrales tradicionales se vuelven irrelevantes. No existe un firewall entre una pestaña del navegador y una exportación de base de datos.

A diferencia de sus equipos internos que se incorporan a través de procesos de TI seguros, los usuarios externos a menudo operan en:

  • Dispositivos personales no administrados – Los contratistas a menudo utilizan sus propias computadoras portátiles o dispositivos móviles que no están controlados ni protegidos por el equipo de TI de la organización, lo que los deja vulnerables a malware o fugas de datos.
  • Redes domésticas o públicas no seguras – Trabajar desde cafés, aeropuertos o redes Wi-Fi domésticas sin el cifrado adecuado expone los datos confidenciales de la empresa a interceptaciones y accesos no autorizados.
  • Identidades ocultas y acceso sin seguimiento A muchos usuarios externos se les otorgan más permisos de los necesarios y, a menudo, eluden por completo los controles de IAM, lo que hace prácticamente imposible que los equipos de seguridad sepan quién tiene acceso, desde dónde inician sesión y qué hacen dentro del sistema. Esta falta de visibilidad aumenta el riesgo de fuga de datos y de actividad interna no supervisada.
  • Sin seguimiento del comportamiento ni visibilidad – Sin un seguimiento en tiempo real de las acciones de los usuarios dentro de las aplicaciones SaaS o plataformas web, las organizaciones no detectan comportamientos riesgosos hasta que el daño ya está producido.
  • Actividad de identidad cruzada fragmentada sin correlación – Los usuarios operan a través de inicios de sesión, plataformas y dispositivos corporativos y no corporativos, lo que hace casi imposible que las herramientas de seguridad tradicionales correlacionen datos fragmentados y detecten comportamiento malicioso.

Y ese es el problema central: están dentro de sus sistemas, pero fuera de su perímetro de seguridad.

Cómo pueden las organizaciones protegerse de la fuga de datos por parte de personas malintencionadas

A medida que las empresas dependen cada vez más de equipos y contratistas externos, el navegador se convierte en el eslabón más débil —y menos monitoreado— de la cadena de seguridad. La filtración de Coinbase sirve como un poderoso recordatorio de que ninguna organización es inmune a las amenazas internas. Dado que los atacantes se vuelven más sofisticados al atacar al personal interno, es imperativo que las empresas adopten medidas de seguridad proactivas basadas en el comportamiento, como:

  • Limitar el acceso con el menor privilegioPermita a los usuarios acceder únicamente a los sistemas, datos y herramientas que necesitan estrictamente para realizar su trabajo, y nada más. Evite el acceso generalizado o persistente, especialmente para contratistas y terceros.
  • Obtenga visibilidad en tiempo real del comportamiento del usuario: No se puede detener lo que no se ve. Las organizaciones necesitan herramientas que monitoreen lo que hacen los usuarios en sus aplicaciones SaaS, navegadores y entornos de nube.
  • Detecta y bloquea acciones riesgosas al instante: Configure sistemas inteligentes que detecten comportamientos riesgosos (por ejemplo, descargas masivas, cargas de archivos a unidades personales, inicios de sesión sospechosos) y puedan responder automáticamente en tiempo real.
  • Supervisar la actividad de terceros y contratistas: Los usuarios externos nunca deben ser tratados como empleados internos. Supervise de cerca su actividad, especialmente cuando accedan a sistemas confidenciales o datos de clientes.
  • Actividad de correlación de identidad cruzada: No supervise solo una cuenta a la vez. Los atacantes maliciosos suelen operar con múltiples inicios de sesión o dispositivos. Vincule acciones entre diferentes inicios de sesión, dispositivos y aplicaciones para detectar patrones y evitar que los usuarios se oculten tras varias identidades.

Ingrese a LayerX: la atalaya para SaaS, contratistas y usuarios ocultos

Entonces ¿cómo detener esta locura?

Podrías intentar instalar agentes en las laptops de todos los contratistas o obligarlos a usar una VPN corporativa hasta que se rebelen o encuentren una solución alternativa. O mejor aún, podrías encontrarte con los usuarios donde se realiza el trabajo: dentro del navegador.

LayerX opera donde las amenazas internas hacen daño: el navegador.

A diferencia de las herramientas tradicionales que protegen la infraestructura o los endpoints, LayerX es como conectar una cámara de seguridad de alta resolución y siempre activa a cada sesión del navegador, sin necesidad de instalar nada en el dispositivo del usuario. Supervisa lo que los usuarios hacen dentro de las aplicaciones SaaS, en todas las identidades, dispositivos y sesiones, y bloquea toda actividad maliciosa en tiempo real.


Así es como LayerX hace lo invisible… visible:

  1. Visibilidad a nivel de navegador
    LayerX monitorea todas las acciones del usuario en tiempo real en todos los navegadores, en cualquier dispositivo, para cada aplicación SaaS (descargas, cargas, copiar y pegar, capturas de pantalla y transferencias sin archivos), justo donde se manejan los datos.
  2. Detección y bloqueo de riesgos instantáneos
    El comportamiento sospechoso se detecta y bloquea automáticamente antes de que se puedan filtrar los datos sin ninguna intervención manual.
  3. Perspectiva entre identidades
    LayerX conecta la actividad del usuario en todos los inicios de sesión, dispositivos y aplicaciones para descubrir patrones ocultos y evitar el enmascaramiento de identidad.
  4. Decisiones contextuales, no reglas absurdas
    LayerX no se limita a seguir políticas rígidas. Entiende el contexto: quién es el usuario, desde dónde trabaja, qué dispositivo usa y si usa cuentas corporativas o no corporativas. Así es como sabe cuándo algo no funciona.
  5. Implementación sin inconvenientes
    LayerX se ejecuta directamente como una extensión en el navegador y funciona en todos los dispositivos y entornos, incluidos los no administrados. Sin agentes, proxies ni interrupciones.

Con LayerX, puede escalar con confianza, colaborar globalmente y proteger sus datos sin importar quién esté al otro lado de la pantalla. Ya sea un empleado descuidado o un contratista sobornado, LayerX garantiza que sus datos confidenciales nunca pasen desapercibidos.

Contacta con LayerX para una demostración personal que le mostrará cómo podemos ayudarle a proteger a su contratista y a las amenazas de terceros, sin interrumpir sus flujos existentes ni interrumpir la continuidad del negocio.