Los cibercriminales han dado un paso más en la sofisticación de sus ataques: ahora buscan reclutar empleados internos dentro de organizaciones específicas, especialmente en sectores como las criptomonedas y las plataformas sociales. Según una investigación reciente de NordStellar, se han identificado 25 publicaciones únicas en la dark web donde actores maliciosos buscan trabajadores con acceso privilegiado a datos sensibles.
Un nuevo modelo de ataque: el “insider” como puerta de entrada
A diferencia de los ataques externos tradicionales, los insiders representan un riesgo mucho más difícil de detectar. Tal como explica Vakaris Noreika, experto en ciberseguridad de NordStellar, los empleados internos no suelen activar alertas típicas, como accesos inusuales o transferencias sospechosas de datos. Conocen los sistemas, las políticas internas y, sobre todo, las debilidades de la organización.
Los anuncios encontrados en la dark web son directos y específicos. Algunos buscan empleados en compañías como:
- Coinbase
- Binance
- OKX
Los delincuentes ofrecen pagos que pueden oscilar entre 3.000 y 15.000 dólares por acceso o filtración de datos, según investigaciones previas de Check Point Software.
El sector cripto, en el punto de mira
El ecosistema de criptomonedas se ha convertido en un objetivo prioritario. Solo en la primera mitad de 2025, los ciberdelincuentes robaron 1.930 millones de dólares en delitos relacionados con criptoactivos, superando todo lo sustraído en 2024.
Uno de los casos más llamativos fue el ataque a Coinbase, donde los atacantes afirmaron haber reclutado agentes del call center para obtener información de clientes. El incidente habría costado a la empresa hasta 400 millones de dólares.
Señales de alerta ante un posible ataque interno
Detectar un ataque interno requiere vigilancia constante y herramientas adecuadas. Entre los indicadores más relevantes destacan:
- Acceso frecuente a información sensible sin justificación clara
- Descargas o transferencias de datos hacia dispositivos externos
- Cambios en patrones de comportamiento digital
- Intentos de acceder a áreas o sistemas fuera del rol del empleado
Noreika recomienda implementar herramientas de prevención de pérdida de datos (DLP), segmentación de red y controles de acceso estrictos para minimizar riesgos.
Cómo deben prepararse las organizaciones
Además de reforzar la seguridad interna, las empresas deben contar con un plan de recuperación ante incidentes que incluya:
- Identificación rápida del empleado malicioso
- Revocación inmediata de accesos
- Verificación de que el atacante externo ha sido expulsado del sistema
- Monitorización continua de la dark web para detectar publicaciones que mencionen a la empresa
Según NordStellar, vigilar la dark web puede ser la primera señal de que una organización está en riesgo inminente.