Los ciberdelincuentes están reclutando activamente a miembros internos de empresas en la Dak Web, con el objetivo de atacar a organizaciones específicas.

En una investigación de NordStellar, encontraron 25 publicaciones únicas en la dark web de usuarios que buscan empleados, principalmente en redes sociales o plataformas de criptomonedas.

Los usuarios esperan acceder a datos críticos, como información personal de clientes y acuerdos comerciales confidenciales, esto les permite llevar a cabo ataques de ransomware, vender información sobre acuerdos comerciales a la competencia o llevar a cabo sofisticadas estafas de phishing.

«A diferencia de las amenazas externas, es posible que las amenazas internas no activen las alertas de seguridad típicas, como intentos de inicio de sesión inusuales o transferencias de datos», dijo Vakaris Noreika, experto en ciberseguridad de NordStellar.

“Los insiders también están familiarizados con las políticas de seguridad interna y las debilidades de la organización, lo que les permite ajustar sus acciones para evitar sospechas”.

Las publicaciones son explícitas sobre lo que buscan, «Estoy buscando información privilegiada/acceso en las siguientes empresas: linkedin.com, Conbase.com Binance.us + Binance.com, Okx.com, Personas serias contáctenme, no intentes perder el tiempo», se lee en un anuncio y una vez establecido el contacto, la conversación pasa a otro canal, como WhatsApp.

La industria de las criptomonedas se ha convertido en un objetivo prioritario para los ciberdelincuentes, según el equipo de Inteligencia de Amenazas Cibernéticas de Kroll, solo en el primer semestre de 2025 se robaron casi 1.930 millones de dólares en delitos relacionados con las criptomonedas, más que en todo 2024.

Y según una investigación realizada a finales del año pasado por Check Point Software, los anuncios en la darknet ofrecen pagos de entre 3.000 y 15.000 dólares por acceso a datos de intercambios de criptomonedas, bancos y proveedores de la nube.

Los investigadores dijeron que las cotizaciones recientes buscaron información privilegiada de Coinbase, Binance, Kraken y Gemini, así como de gigantes de la consultoría como Accenture y Genpact, y plataformas de consumo como Spotify y Netflix.

El año pasado, en un ataque significativo, Coinbase, una empresa de criptomonedas, fue atacada por hackers que afirmaron haber obtenido acceso a información de clientes mediante la contratación de agentes de atención al cliente dentro de la empresa. Se cree que el incidente le costó a la compañía hasta 400 millones de dólares.

La primera señal de un ataque interno probablemente sean patrones de comportamiento inusual, dijo Noreika «los equipos de seguridad deben estar atentos a los empleados que acceden frecuentemente a información confidencial y asegurarse de que cuenten con la autorización correspondiente», afirmó «La exfiltración de datos a terceros o dispositivos externos es otra señal de alerta importante a la que hay que prestar atención».

Las organizaciones deben utilizar herramientas de prevención de pérdida de datos e implementar una segmentación de red adecuada y controles de acceso sólidos.

Mientras tanto, deben tener un plan de recuperación de incidentes eficaz, que cubra la detección de incidentes y describa los pasos clave necesarios para contener la amenaza y mitigar el daño (por ejemplo, eliminar el acceso del empleado malintencionado a datos confidenciales y garantizar que un atacante externo que ha estado trabajando con la conexión interna a la red haya sido eliminado).

Por último, Noreika aconsejó que se monitoree la dark web para detectar filtraciones de información o publicaciones que busquen información privilegiada dentro de la empresa.

«Puede ser la primera señal de alerta de que una empresa podría estar en mayor riesgo de exposición», afirmó. «Tras detectar dicha actividad, es necesario mantenerse en alerta máxima y garantizar que se implementen todas las medidas de precaución, así como un plan de recuperación».