¿Qué es la exfiltración de datos?

¿Qué es la exfiltración de datos?

La exfiltración de datos, también conocida como extrusión o exportación de datos, es el robo de datos: la transferencia intencionada, no autorizada y encubierta de datos desde un ordenador u otro dispositivo. La exfiltración de datos se puede realizar manualmente o automatizarse utilizando malware.

Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Impedir la exfiltración de datos y proteger los datos de empresa son cruciales por varias razones:

  • Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y provocar pérdidas financieras.
     

  • Cumplimiento de la normativa: muchos sectores cuentan con normativas específicas de privacidad y protección de datos. La exfiltración de datos a menudo resulta del incumplimiento de estas regulaciones o lo pone al descubierto, y puede resultar en sanciones graves y daños duraderos a la reputación.
     

  • Protección de la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.

Para los ciberdelincuentes, los datos confidenciales son un objetivo extremadamente valioso. Los datos robados de los clientes, la información de identificación personal (PII), los números de la seguridad social o cualquier otro tipo de información confidencial pueden venderse en el mercado negro. Los datos robados también pueden utilizarse para ejecutar más ciberataques o pueden retenerse como rehenes a cambio de tarifas exorbitantes como parte de un ataque de ransomware .

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Exfiltración de datos vs. fuga de datos vs. vulneración de datos

Aunque a menudo se utilizan indistintamente, la fuga de datos, la vulneración de datos y la exfiltración de datos son conceptos diferentes, aunque están relacionados.

La fuga de datos es la exposición accidental de datos confidenciales. La fuga de datos puede ser el resultado de una vulnerabilidad de seguridad técnica o un error de seguridad de procedimiento.

Una vulneración de datos es cualquier incidente de seguridad que resulta en el acceso no autorizado a información confidencial o sensible. Alguien que no debería tener acceso a datos confidenciales, obtiene acceso a estos.

La exfiltración de datos es el acto discreto de robar los datos. Toda exfiltración de datos requiere una fuga o vulneración de datos, pero no todas las fugas o vulneraciones de datos conducen a una exfiltración de datos. Por ejemplo, un actor de amenazas puede optar por cifrar los datos como parte de un ataque de ransomware o utilizarlos para secuestrar la cuenta de correo electrónico de un ejecutivo. No es exfiltración de datos hasta que los datos se copian o se trasladan a algún otro dispositivo de almacenamiento bajo el control del atacante.

Es importante hacer esta distinción. Una búsqueda en Google de "costes de la exfiltración de datos" suele mostrar información general sobre los costes de las vulneraciones de datos, pero no mucho sobre los costes de la exfiltración de datos. Suelen incluir el pago de importantes rescates para evitar la venta o divulgación de los datos filtrados y otros rescates para prevenir posibles ataques posteriores.

¿Cómo ocurre la exfiltración de datos?

Normalmente, la exfiltración de datos se debe a

  • Un atacante externo: un hacker, ciberdelincuente, adversario extranjero u otro actor malicioso.
     

  • Una amenaza interna descuidada: un empleado, Business Partner u otro usuario autorizado que sin darse cuenta expone datos a través de un error humano, falta de juicio (por ejemplo, caer en una estafa de phishing ) o ignorancia de los controles, políticas y mejores prácticas de seguridad. Por ejemplo, un usuario que transfiere datos confidenciales a una unidad flash USB, un disco duro portátil u otro dispositivo no seguro representa una amenaza.

En casos más raros, la causa es una amenaza interna maliciosa: un agente malicioso con acceso autorizado a la red, como un empleado descontento.

Técnicas comunes de exfiltración de datos y vectores de ataque

Los atacantes externos y los usuarios internos negligentes se aprovechan de los internos descuidados o mal capacitados y de las vulnerabilidades de seguridad técnica para acceder y robar datos confidenciales.

Phishing y otros ataques de ingeniería social

Los ataques de ingeniería social explotan la psicología humana para manipular o engañar a una persona para que ponga en peligro su propia seguridad o la de su organización.

El tipo más común de ataque de ingeniería social es el phishing, el uso de mensajes de correo electrónico, de texto o de voz que suplantan la identidad de un remitente de confianza y convencen a los usuarios para que realicen alguna de las siguientes acciones:

  • Descargar malware (como ransomware)
  • Pulsar en enlaces a sitios web maliciosos
  • Renunciar a información personal (por ejemplo, credenciales de inicio de sesión)
  • Entregar directamente los datos que el atacante quiere exfiltrar

Los ataques de phishing pueden ir desde mensajes de phishing masivos impersonales que parecen provenir de marcas u organizaciones de confianza, hasta ataques de spear phishing altamente personalizados, whale phishing y ataques de compromiso de correo electrónico empresarial (BEC). Los ataques BEC se dirigen a personas específicas con mensajes que parecen provenir de colegas cercanos o figuras de autoridad.

Pero la ingeniería social puede ser mucho menos técnica. Una técnica de ingeniería social, llamada cebo, es tan simple como dejar una memoria USB infectada con malware donde el usuario la recoja. Otra técnica, denominada tailgaiting, consiste simplemente en seguir a un usuario autorizado hasta una habitación o un lugar físico donde se almacenan datos.

Explotación de vulnerabilidades

Una explotación de vulnerabilidad aprovecha un fallo de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo. Los exploits de día cero aprovechan los defectos de seguridad que descubren los hackers antes de que los proveedores de software o dispositivos sepan sobre ellos o sean capaces de solucionarlos. El túnel DNS utiliza solicitudes al servicio de nombres de dominio (DNS) para evadir las defensas del firewall y crear un túnel virtual para filtrar información confidencial.

El costo de la exfiltración de datos

Para las personas, los datos robados mediante la exfiltración pueden tener consecuencias costosas, como el robo de identidad, el chantaje o con tarjetas y el chantaje o la extorsión. Para las organizaciones, especialmente las organizaciones de sectores altamente regulados, como la sanidad y las finanzas, las consecuencias son órdenes de magnitud más costosas. Las siguientes consecuencias son ejemplos de lo que puede ocurrir:

  • Interrupción de las operaciones como consecuencia de la pérdida de datos cruciales para la empresa
     

  • Pérdida de la confianza de los clientes o del negocio
     

  • Secretos comerciales comprometidos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación
     

  • Graves multas reglamentarias, tasas y otras sanciones para las organizaciones que están obligadas por ley a adherirse a estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos sensibles de los clientes
     

  • Ataques posteriores que son posibles gracias a los datos exfiltrados

Es difícil encontrar informes o estudios sobre los costes atribuibles directamente a la exfiltración de datos, pero los incidentes de exfiltración de datos están aumentando rápidamente. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión: el ciberdelincuente cifra los datos de la víctima y los exfiltra. A continuación, el ciberdelincuente pide un rescate para desbloquear los datos (de modo que la víctima pueda reanudar las operaciones comerciales) y rescates posteriores para impedir la venta o divulgación de los datos a terceros.

En 2020, los ciberdelincuentes extrajeron cientos de millones de registros de clientes solo de Microsoft y Facebook. En 2022, el grupo de piratería Lapsus exfiltró un terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de deep learning de la empresa. Si los hackers siguen el dinero, será porque el dinero obtenido de la exfiltración de datos debe ser bueno y cada vez mejor.

Prevención de exfiltración de datos

Las organizaciones utilizan una combinación de prácticas recomendadas y soluciones de seguridad para evitar la exfiltración de datos.

Formación de concienciación sobre seguridad. Dado que el phishing es un vector de ataque de exfiltración de datos tan común, capacitar a los usuarios para reconocer estafas de phishing puede ayudar a bloquear intentos de exfiltración de datos por parte de hackers. Educar a los usuarios sobre prácticas recomendadas para el trabajo a distancia, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.

Gestión de identidades y accesos (IAM). Los sistemas IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red. Estos sistemas agilizan el acceso para los usuarios autorizados al tiempo que mantienen alejados a los usuarios no autorizados y a los piratas informáticos. IAM puede combinar las siguientes tecnologías:

  • Autenticación multifactor: se requiere una o más credenciales de inicio de sesión además de un nombre de usuario y una contraseña.
     

  • Control de acceso basado en roles (RBAC): proporciona permisos de acceso basados en el rol del usuario en la organización.
     

  • Autenticación adaptativa: exigir a los usuarios que vuelvan a autenticarse cuando cambia el contexto (por ejemplo, cuando cambian de dispositivo o intentan acceder a aplicaciones o datos especialmente sensibles).
     

  • Inicio de sesión único: permite a los usuarios iniciar una sesión una sola vez utilizando un único conjunto de credenciales de inicio de sesión, y acceder a múltiples servicios relacionados en las instalaciones o en la nube durante esa sesión sin tener que volver a iniciar sesión.

Prevención de pérdida de datos (DLP). Las soluciones DLP monitorizan e inspeccionan datos confidenciales en cualquier estado, en reposo (en almacenamiento), en movimiento (moviéndose a través de la red) y en uso (en proceso), en busca de signos de exfiltración, y bloquean la exfiltración en consecuencia. Por ejemplo, la tecnología DLP puede impedir que los datos se copien en un servicio de almacenamiento en la nube no autorizado, o que una aplicación no autorizada (por ejemplo, una aplicación que un usuario descarga de la web).

Tecnologías de detección y respuesta a amenazas. Una clase creciente de tecnologías de ciberseguridad monitoriza y analiza continuamente el tráfico de la red corporativa y la actividad de los usuarios. Estas tecnologías ayudan a los equipos de seguridad sobrecargados a detectar ciberamenazas en tiempo real o casi real y a responder con una intervención manual mínima. Estas tecnologías incluyen las siguientes: 

  1. Sistemas de detección de intrusos (IDS)
  2. Sistemas de prevención de intrusiones (IPS)
  3. Gestión de información y eventos de seguridad (SIEM)
  4. Orquestación, automatización y respuesta de seguridad (SOAR)
  5. Ejecución y detección de endpoints (EDR)
  6. Soluciones de detección y respuesta extendidas (XDR)

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo