Insider (amenaza interna) en ciberseguridad para oposiciones
Qué es un insider, las dos dimensiones (pertenencia y motivación) y por qué se distingue del atacante externo.
Idea clave para el examen
Un insider en ciberseguridad es una persona perteneciente a la propia organización que provoca un incidente de seguridad, de forma intencionada (maliciosa) o accidental (negligencia). La plantilla lo cruza con pertenencia + motivación, dando 4 combinaciones y dejando la intencionada/accidental de persona interna como clave.
Definición sencilla
Un insider es una persona con acceso legítimo a los sistemas de la organización (empleado, exempleado, proveedor, becario) que causa un incidente de seguridad.
El incidente puede ser intencionado (robo de datos, sabotaje, fraude) o accidental (enviar un email confidencial al destinatario equivocado, dejar el equipo desbloqueado).
Se distingue del atacante externo en que el insider ya está dentro del perímetro y conoce la información.
Los SGSI y las campañas de concienciación están pensados, entre otras cosas, para reducir el riesgo de insider.
Ejemplo práctico
Una empleada que copia la base de datos de clientes a su USB personal antes de irse a la competencia es un insider intencionado. Un compañero que pincha en un enlace de phishing sin darse cuenta es un insider accidental.
Insider = dentro de la organización
× intencionado: robo, sabotaje, fraude
× accidental: error, negligenciaErrores habituales
- Pensar que el insider siempre es malicioso: también lo es el que provoca incidentes sin querer.
- Asumir que solo los empleados son insiders: también contratistas y exempleados con credenciales activas.
- Confundir insider con ex-empleado enfadado: el ex-empleado solo es insider si conserva accesos activos.
Pregunta real de examen
Fuente: INAP Cuestionario AUX-L MODELO A (2025) — pregunta 13, pagina 10 del PDF | Plantilla definitiva
Pregunta oficial del examen INAP AUX-L 2025, numero 13 (pagina 10 del PDF), clave D validada contra la plantilla definitiva.
¿Qué es un insider en ciberseguridad?
- Un insider es una persona que no pertenece a la organización y que provoca un incidente de seguridad de forma intencionada.
- Un insider es una persona que no pertenece a la organización y que provoca un incidente de seguridad de forma accidental.
- Un insider es una persona perteneciente a la propia organización que provoca un incidente de seguridad de forma intencionada.
- Un insider es una persona perteneciente a la propia organización que provoca un incidente de seguridad de forma accidental.
Respuesta correcta: D
Explicación: La respuesta correcta (D) define al insider como una persona perteneciente a la propia organización que provoca un incidente de forma accidental. La clave del término insider es la pertenencia a la organización (no externa), independientemente de la intención. Por qué las otras son incorrectas: A) Persona externa con intención es un atacante externo, no un insider; B) Persona externa sin intención es un usuario ajeno que comete un error, pero no tiene acceso legítimo, así que no es insider; C) Persona interna con intención (maliciosa) es un insider, pero intencionado, no encaja con la clave D del tribunal. La respuesta D recoge el caso más habitual en la práctica: el empleado o colaborador con acceso que, sin querer, filtra datos al enviar un correo al destinatario equivocado, deja el equipo desbloqueado, pincha un enlace de phishing o comparte un archivo confidencial en una carpeta pública. Clave validada contra la plantilla definitiva de INAP AUX-L 2025, pregunta 13, fila 13 de la segunda parte, pagina 10 del cuestionario.
También debes conocer
Siguiente paso útil
Si quieres preparar estos conceptos con explicaciones guiadas, ejercicios y tests, puedes pedirme información del curso de informática para oposiciones.