El treballador intern de CrowdStrike va col·laborar amb ciberdelinqüents per falsificar una violació

CrowdStrike ha confirmat que un empleat va compartir imatges del seu escriptori amb un grup de ciberdelinqüents, que les van utilitzar per al·legar falsament un incompliment. Tot i que no es van incomplir els sistemes de la companyia, aquest incident posa de manifest l'amenaça que suposen els insiders i la necessitat de reforçar la gestió d'accés i la supervisió interna.

‍

_{Què ha passat?}

Un empleat o col·laborador amb accés a l'entorn intern de CrowdStrike va compartir imatges del seu escriptori amb ciberdelinqüents, incloent panells de control intern i enllaços a la consola d'accés de l'empresa (SSO). Posteriorment, el grup cibercriminal que es diu Dispersed Lapsus$ Hunters va publicar aquestes captures en un canal públic, afirmant falsament que havien compromés els sistemes de CrowdStrike a través d'una vulnerabilitat en un proveïdor extern.

CrowdStrike va reaccionar immediatament: va revocar l'accés del treballador, va qualificar l'incident com una amenaça interna i va assegurar que els seus sistemes no s'havien incomplert i que les dades dels seus clients seguien segures. A més, l'empresa ha posat el cas en mans de les autoritats competents per a la seva investigació.

‍

_{Riscos i implicacions de l'incident}

Tot i que no hi va haver atac tècnic ni explotació de vulnerabilitat, l'incident demostra que:

• Una persona privilegiada amb accés legítim pot suposar un risc crític, especialment amb coneixements o credencials privilegiats.
• La difusió de proves manipulades (captures de pantalla, captures, registres falsos) pot generar por, desconfiança i confusió sobre la seguretat real de l'empresa.
• Fins i tot les empreses de ciberseguretat poden patir una erosió de confiança si no gestionen adequadament els seus riscos interns.
• Les amenaces internes requereixen un seguiment, auditoria contínua i una cultura de seguretat interna, més enllà dels controls tècnics tradicionals.

‍

_{Lliçons i prevenció d'amenaces privilegiades}

Aquest incident subratlla que les amenaces internes poden ser igual de perilloses que els atacs externs. L'accés legítim a sistemes crítics permet a un empleat maliciós o descuidat comprometre informació sensible sense necessitat de violar la infraestructura.

Per mitigar aquest risc, les empreses han d'implementar polítiques de gestió d'accessos privilegiats, segmentar i supervisar els permisos dels usuaris i establir programes de sensibilització de la ciberseguretat i formació contínua. A més, tenir clars protocols d'auditoria i resposta a incidències internes permet detectar un comportament sospitós abans que s'escali, protegint tant els sistemes com la reputació de l'organització.

La combinació de controls tècnics, vigilància activa i cultura de seguretat interna és clau per protegir els sistemes i mantenir la confiança dels clients i socis estratègics.

‍

^{Què et recomanem des d'Apolo Cybersecurity}

El cas CrowdStrike reforça una lliçó clau: la seguretat no depèn només dels sistemes o tallafocs, sinó de les persones amb accés a ells. És per això que:

• Implementar programes interns de gestió d'amenaces (“amenaça insider”) amb control d'accés, seguiment de l'activitat privilegiada i revisions periòdiques.
• Aplicar polítiques Zero Trust, segmentant els permisos d'accés i auditoria de forma rutinària.
• Verificar proactivament la integritat dels sistemes i registres, inclosos els registres i les revisions de canvis.
• Comunicar-se de manera transparent amb els clients i usuaris sobre qualsevol incidència, explicant l'abast i les mesures correctores.

‍

_{Enforteix la teva defensa des de dins}

No espereu que un tercer o un informador privilegiat posi en risc la vostra reputació. A Apolo Cybersecurity, t'ajudem a auditar l'accés intern, implementar un seguiment continu i capacitar els teus equips per anticipar-se als riscos. La veritable seguretat comença per dins: assegureu-vos que la tingueu.