Autoridades revelan cómo criminales roban datos y dinero usando empleados internos

Las víctimas de estos fraudes sufren pérdidas económicas y robo de identidad, aunque el artículo no especifica cifras de afectados.
Sus acciones pueden pasar desapercibidas durante meses
Los insiders usan credenciales legítimas que los sistemas de monitoreo no detectan como amenaza.

En el corazón de muchas organizaciones que custodian datos sensibles existe una vulnerabilidad que ningún cortafuegos puede neutralizar por completo: la confianza depositada en quienes ya están adentro. Expertos en ciberseguridad advierten que redes criminales en Colombia y la región reclutan cada vez más a empleados con acceso legítimo —los llamados insiders— para extraer información confidencial de clientes y alimentar operaciones de fraude e identidad suplantada. La amenaza no llega desde afuera rompiendo muros, sino desde adentro caminando por pasillos conocidos, lo que obliga a repensar cómo las instituciones entienden la confianza, la vigilancia y la responsabilidad interna.

  • El insider no necesita hackear nada: usa sus propias credenciales para extraer nombres, cédulas, saldos bancarios y datos personales que luego vende a redes de ciberdelincuentes.
  • Empleados despedidos, trabajadores inconformes y funcionarios corruptos representan los perfiles de mayor riesgo, capaces de operar en silencio durante semanas o meses sin activar alertas.
  • Cuando la filtración finalmente se detecta, el daño ya está consumado: pérdidas económicas, reputación comprometida y clientes que deben ser notificados de que su información fue traicionada.
  • Los expertos presionan por controles más agresivos: restringir accesos, monitorear comportamientos anómalos como descargas masivas o consultas fuera de horario, e implementar detección de fugas en tiempo real.
  • La ventana para interceptar la información antes de que llegue a manos criminales existe, pero es estrecha —y exige que las organizaciones dejen de tratar la amenaza interna como un riesgo secundario.

Las organizaciones criminales dedicadas al fraude digital han encontrado su herramienta más eficaz no en la tecnología, sino en las personas: empleados con acceso legítimo que extraen información confidencial desde adentro. Estos actores, conocidos como insiders, pueden pertenecer a bancos, empresas de servicios o entidades gubernamentales, y desde sus puestos obtienen nombres, números de identificación, teléfonos y saldos bancarios para venderlos a redes delictivas que los usan en estafas, hurtos y suplantaciones de identidad.

Las autoridades son claras: no se trata de errores accidentales ni mal uso involuntario de permisos, sino de una extracción deliberada de datos con el propósito explícito de alimentar operaciones criminales. Los perfiles más vulnerables incluyen a trabajadores recién despedidos que buscan represalia o dinero rápido, empleados descontentos que revelan secretos comerciales, y funcionarios corruptos que eliminan registros para entorpecer controles internos.

Lo que convierte esta amenaza en algo particularmente grave es su invisibilidad. El insider no necesita vulnerar sistemas ni evadir cortafuegos: sus movimientos pueden pasar desapercibidos durante semanas o meses. Para cuando se detecta la filtración, el daño —económico, reputacional y humano— ya está hecho.

Frente a esto, los especialistas recomiendan endurecer los controles de acceso, vigilar activamente patrones anómalos en usuarios con privilegios elevados —descargas masivas, consultas fuera de horario, acceso a registros ajenos a sus funciones— e implementar sistemas de detección en tiempo real capaces de identificar fugas antes de que la información llegue a manos criminales. La oportunidad de intervenir existe, pero requiere que las instituciones reconozcan que la amenaza más difícil de ver puede estar sentada justo al lado.

Los criminales que operan en el mundo digital tienen un arma que los sistemas de seguridad no pueden bloquear fácilmente: alguien que ya está adentro. Expertos en ciberseguridad advierten que las organizaciones delictivas dedicadas a los fraudes informáticos dependen cada vez más de colaboradores internos, empleados que usan sus credenciales legítimas para extraer información confidencial y entregarla a redes de ciberdelincuentes.

Este tipo de actor interno, conocido como insider, tiene acceso que la mayoría de la gente no tiene. Puede ser un empleado de un banco, una empresa de servicios, una entidad gubernamental o cualquier organización que maneje datos sensibles. Desde su posición, obtiene sin autorización nombres completos, números de identificación, teléfonos, saldos de cuentas bancarias y otros registros clasificados. Luego vende esa información a organizaciones criminales que la utilizan para cometer fraudes, estafas, hurtos y suplantaciones de identidad.

Las autoridades subrayan que esta conducta es claramente ilícita. No es un error administrativo ni un mal uso accidental de permisos. Es una extracción deliberada de información que ocurre fuera de las funciones que la empresa autorizó, con el propósito explícito de alimentar las bases de datos de redes delictivas. El problema es que ciertos perfiles de empleados representan un riesgo particularmente alto. Los trabajadores que acaban de ser despedidos, por ejemplo, a menudo venden información sensible como forma de represalia o para obtener dinero rápido. Los empleados descontentos revelan secretos comerciales. Los funcionarios corruptos eliminan registros importantes para obstaculizar el cumplimiento de normas internas.

Lo que hace especialmente peligrosa esta amenaza es que el insider ya posee credenciales legítimas. No necesita hackear sistemas ni burlar cortafuegos. Sus acciones pueden pasar completamente desapercibidas para los sistemas de monitoreo durante semanas, incluso meses. Cuando finalmente se detecta la filtración, el daño ya está hecho. Las organizaciones afectadas enfrentan pérdidas económicas significativas, daño reputacional severo y la tarea de notificar a clientes cuya información fue comprometida.

Frente a este escenario, los especialistas en seguridad informática han comenzado a plantear recomendaciones más agresivas. Sugieren fortalecer los controles sobre quién puede acceder a qué información y cuándo. Proponen monitorear activamente el comportamiento de usuarios con privilegios elevados, buscando patrones anormales: descargas masivas de datos, acceso a información fuera de horario, consultas a registros que no corresponden a sus funciones. Más importante aún, recomiendan establecer mecanismos de detección temprana que funcionen en tiempo real, capaces de identificar fugas de datos e usos indebidos antes de que la información llegue a manos de los ciberdelincuentes. La ventana de oportunidad es estrecha, pero existe.

Las organizaciones criminales dedicadas a los delitos informáticos suelen contar con la colaboración de un insider que facilita información confidencial para cometer fraudes, estafas, hurtos y suplantaciones de identidad
— Expertos en ciberseguridad
Estos actores ya cuentan con credenciales, usuarios y permisos legítimos, por lo que sus acciones pueden pasar inadvertidas para los sistemas de monitoreo durante semanas o incluso meses
— Autoridades de seguridad informática
La Conversación del Hearth Otra perspectiva de la historia
Inventor

¿Por qué un empleado de una empresa decidiría robar información de sus propios clientes?

Model

Las motivaciones varían. Algunos son empleados despedidos que ven la venta de datos como venganza o como forma rápida de obtener dinero. Otros están simplemente descontentos con sus salarios o condiciones de trabajo. Hay también funcionarios que son reclutados directamente por organizaciones criminales, que saben exactamente a quién contactar y qué información vale más.

Inventor

Si el insider ya tiene acceso legítimo, ¿cómo pueden los sistemas de seguridad detectar lo que está haciendo?

Model

Ese es el problema central. Un empleado bancario que accede a cuentas de clientes como parte de su trabajo normal no genera alertas automáticas. Pero si descarga miles de registros de una vez, o accede a información que no necesita para su puesto, eso debería encender luces rojas. El desafío es que muchas empresas no tienen sistemas sofisticados de monitoreo de comportamiento.

Inventor

¿Cuánto tiempo puede pasar antes de que se descubra una filtración?

Model

Semanas, incluso meses. El insider no deja rastros obvios como un hacker externo. Simplemente extrae información gradualmente, usando sus permisos normales. Cuando finalmente alguien nota inconsistencias o un cliente reporta fraude, ya es demasiado tarde. La información está en manos de criminales.

Inventor

¿Qué tipo de información es la más valiosa para los criminales?

Model

Los números de identificación, teléfonos y saldos bancarios son oro puro. Con eso, pueden cometer fraudes directamente o vender la información a otros delincuentes. Los datos personales también sirven para suplantación de identidad. Básicamente, cualquier cosa que permita acceder a dinero o crear perfiles falsos tiene valor en el mercado criminal.

Inventor

¿Qué pueden hacer realmente las empresas para prevenirlo?

Model

Necesitan ir más allá de contraseñas y cortafuegos. Deben monitorear quién accede a qué, cuándo y por qué. Deben establecer alertas para comportamientos anormales. Y lo más importante: deben implementar sistemas que detecten fugas en tiempo real, antes de que los datos salgan de la organización. Es un cambio de mentalidad, de reacción a prevención.

Quieres la nota completa? Lee el original en El Colombiano ↗
Contáctanos FAQ