Paloma González
La frontera entre amenaza externa e interna se ha difuminado. De hecho, el auge del trabajo remoto, la nube y el acceso distribuido ha transformado la naturaleza del riesgo: cualquier actor que logre credenciales válidas opera, a efectos prácticos, como un insider. En este sentido, los ciberatacantes ya no fuerzan su entrada, sino que acceden como si fueran usuarios legítimos.
Según, Tony Fergusson, CISO en Residencia de Zscaler, este nuevo escenario redefine el riesgo interno y plantea desafíos críticos para los equipos de ciberseguridad. “Históricamente, un ‘insider’ se refería a alguien físicamente dentro de la empresa, como un empleado o un contratista con acceso físico a las oficinas. Sin embargo, los usuarios ahora están en todas partes, los datos a menudo residen en la nube y el perímetro tradicional se ha disuelto. Cualquiera que obtenga acceso a este entorno de confianza es, por definición, un insider”, añade.
Por tanto, la capacidad de los ciberdelincuentes para iniciar sesión con identidad comprometida -no para “entrar por la fuerza”- expone una nueva superficie crítica que desafía los modelos de seguridad tradicionales. En este sentido, Fergusson subraya que la detección se ha vuelto más compleja porque los atacantes imitan con precisión los patrones de un usuario autorizado, aprovechando técnicas de “vivir de la tierra” para operar sin generar señales claras. En este contexto, la vigilancia continua y el análisis comportamental se convierten en elementos estructurales de la defensa.
De ahí la importancia de complementar herramientas y modelos con un enfoque de Negative Trust, basado en introducir imprevisibilidad y mecanismos de engaño controlado para detectar movimientos anómalos con mayor rapidez. La previsibilidad de los sistemas -alerta Fergusson- es una de las debilidades que los equipos de seguridad pasan por alto con más frecuencia.
El auge de actores maliciosos dispuestos a comprar accesos internos, cookies de autenticación o colaboración de empleados acentúa este desafío. En un entorno donde el acceso es el nuevo perímetro, la conducta del usuario y del dispositivo emerge como el único indicador fiable para anticipar amenazas internas.
Fuente: Paloma González para Füture. Blog de Innovación para el mercado asegurador (11 diciembre de 2025)
