La exfiltración de datos, también conocida como extrusión de datos o exportación de datos, es el robo de datos: la transferencia intencionada, no autorizada y encubierta de datos desde un ordenador u otro dispositivo.La exfiltración de datos se puede realizar manualmente o automatizarse mediante malware.
Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Impedir la exfiltración de datos y proteger los datos de empresa son cruciales por varias razones:
Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y provocar pérdidas financieras.
Cumplimiento normativo: muchos sectores tienen regulaciones específicas con respecto a la privacidad y protección de datos.La exfiltración de datos a menudo resulta del incumplimiento de estas regulaciones o lo pone al descubierto, y puede resultar en sanciones severas y daños duraderos a la reputación.
Protección de la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.
Para los cibercriminales, los datos confidenciales se han convertido en un objetivo extremadamente valioso.Los datos robados de los clientes, la información de identificación personal (PII), los números de la seguridad social o cualquier otro tipo de información confidencial pueden venderse en el mercado negro, utilizarse para ejecutar más ataques cibernéticos o para sufrir un ataque de ransomware que tenga un coste exorbitante.
Aunque a menudo se utilizan indistintamente, la fuga de datos, la vulneración de datos y la exfiltración de datos son conceptos diferentes, aunque relacionados.
La fuga de datos es la exposición accidental de datos confidenciales.La fuga de datos puede ser el resultado de una vulnerabilidad de seguridad técnica o un error de seguridad de procedimiento.
Una vulneración de datos es cualquier incidente de seguridad que resulta en el acceso no autorizado a información confidencial o sensible.Alguien que no debería tener acceso a datos confidenciales, obtiene acceso a estos.
La exfiltración de datos es el acto discreto de robar los datos.Toda exfiltración de datos requiere una fuga de datos o una vulneración de datos, pero no todas las fugas de datos o vulneraciones de datos conducen a la exfiltración de datos: un agente de amenaza puede optar por cifrar los datos, como parte de un ataque de ransomware, o utilizarlos para secuestrar la cuenta de correo electrónico de un ejecutivo.No se trata de una exfiltración de datos hasta que los datos se copian o se mueven a algún otro dispositivo de almacenamiento bajo el control del atacante.
La distinción es importante.Busque en Google "costes de exfiltración de datos" y encontrará mucha información sobre los costes de las vulneraciones de datos, en gran medida porque hay muy pocos datos disponibles sobre los costes directamente atribuibles a la exfiltración de datos.Sin embargo, muchos cálculos de costes de vulneración de datos no incluyen costes relacionados específicamente con la exfiltración, como el coste a menudo sustancial de los pagos de rescate para evitar la venta o liberación de datos exfiltrados, o el coste de ataques posteriores habilitados por datos exfiltrados.
En la mayoría de los casos, la exfiltración de datos es causada por
Un atacante externo: un hacker, ciberdelincuente, adversario extranjero u otro actor malicioso.
Una amenaza interna por descuido: un empleado, socio comercial u otro usuario autorizado que expone datos inadvertidamente por error humano, falta de juicio (por ejemplo, caer en una estafa de phishing ) o desconocimiento de los controles de seguridad, las políticas y las mejores prácticas (por ejemplo, transferir datos confidenciales a una memoria USB, un disco duro portátil u otro dispositivo no seguro).
En casos más raros, la causa es una amenaza interna maliciosa: un agente malicioso con acceso autorizado a la red, como un empleado descontento.
Los atacantes externos y los internos malintencionados se aprovechan de los internos descuidados o mal capacitados, así como de las vulnerabilidades de seguridad técnica, para acceder y robar datos confidenciales.
Los ataques de ingeniería social aprovechan la psicología humana para manipular o engañar a las personas para que tomen medidas que comprometan su propia seguridad o la seguridad de su organización.
El tipo más común de ataque de ingeniería social es el phishing, el uso de correo electrónico, mensajes de texto o de voz que se hacen pasar por un remitente de confianza y convencen a los usuarios para descargar malware (como ransomware), hacer clic en enlaces a sitios web maliciosos, entregar información personal (por ejemplo, credenciales de inicio de sesión) o, en algunos casos, entregar directamente los datos que el atacante desea exfiltrar.
Los ataques de phishing pueden variar desde mensajes de phishing masivos impersonales que parecen provenir de marcas u organizaciones de confianza, hasta ataques de spear phishing, whale phishing y correo electrónico empresarial comprometido (BEC) dirigidos a personas específicas con mensajes que parecen provenir de compañeros cercanos o autoridades.
Pero la ingeniería social puede ser mucho menos técnica.Una técnica de ingeniería social, llamada cebo, es tan simple como dejar una memoria USB infectada con malware donde el usuario la recoja.Otra técnica, llamada adaptación, no es más compleja que seguir a un usuario autorizado a una ubicación física de la sala donde se almacenan los datos.
Una explotación de vulnerabilidad aprovecha un fallo de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo.Los ataques de día cero aprovechan los defectos de seguridad que descubren los piratas informáticos antes de que los proveedores de software o dispositivos sepan sobre ellos o sean capaces de solucionarlos.El túnel DNS utiliza solicitudes al servicio de nombres de dominio (DNS) para evadir las defensas del cortafuegos y crear un túnel virtual para filtrar información confidencial.
Para las personas, los datos robados mediante la exfiltración pueden tener consecuencias costosas, como el robo de identidad, el fraude bancario o con tarjetas de crédito y el chantaje o la extorsión.Para las organizaciones, especialmente las organizaciones de sectores altamente regulados, como la salud y las finanzas, las consecuencias son órdenes de magnitud más costosas.Entre ellos se encuentran:
Interrupción de las operaciones como consecuencia de la pérdida de datos críticos para la empresa;
Pérdida de confianza o negocio de los clientes;
Puesta en peligro de secretos comerciales valiosos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación;
Graves multas reglamentarias, tasas y otras sanciones para las organizaciones obligadas por ley a cumplir estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos confidenciales de clientes;
Ataques posteriores posibilitados por los datos exfiltrados.
Es difícil encontrar informes o estudios sobre los costes atribuibles directamente a la exfiltración de datos, pero la incidencia de esta está aumentando rápidamente.En la actualidad, la mayoría de los ataques de ransomware son ataques de doble extorsión: el ciberdelincuente cifra los datos de la víctima y los exfiltra, luego exige un rescate para desbloquear los datos (de modo que la víctima pueda reanudar sus operaciones comerciales) y, posteriormente, exige un nuevo rescate para impedir la venta o divulgación de los datos a terceros.
En 2020, los ciberdelincuentes extrajeron cientos de millones de registros de clientes solo de Microsoft y Facebook.En 2022, el grupo de piratería Lapsus$ exfiltró 1 terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de deep learning de la empresa.Si los piratas informáticos siguen el dinero, será porque el dinero obtenido de la exfiltración de datos debe ser bueno y cada vez mejor.
Las organizaciones utilizan una combinación de prácticas recomendadas y soluciones de seguridad para evitar la exfiltración de datos.
Capacitación sobre concienciación sobre seguridad.Dado que el phishing es un vector de ataque de exfiltración de datos tan común, capacitar a los usuarios para reconocer estafas de phishing puede ayudar a bloquear intentos de exfiltración de datos por parte de piratas informáticos.Educar a los usuarios sobre prácticas recomendadas para el trabajo a distancia, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el manejo/transferencia/almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.
Gestión de identidad y acceso (IAM por sus siglas en inglés).Los sistemas IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red, de forma que se agilice el acceso a usuarios autorizados y se mantenga fuera a usuarios no autorizados, incluidos los hackers.IAM puede combinar tecnologías como
Autenticación multifactorSe requiere una o más credenciales de inicio de sesión además de un nombre de usuario y una contraseña.
Control de acceso basado en roles (RBAC por sus siglas en inglés): permisos de acceso basados en el rol del usuario en la organización
Autenticación adaptativa: requiere que los usuarios se vuelvan a autenticar cuando cambie el contexto (por ejemplo, cambian de dispositivo o intentan acceder a aplicaciones o datos particularmente confidenciales)
Inicio de sesión únicoUn esquema de autenticación que permite a los usuarios iniciar sesión una vez utilizando un único conjunto de credenciales y acceder durante la misma a varios servicios locales o en la nube relacionados sin tener que volver a iniciar sesión.
Prevención de pérdida de datos (DLP por sus siglas en inglés).Las soluciones DLP supervisan e inspeccionan datos confidenciales en cualquier estado, en reposo (en almacenamiento), en movimiento (moviéndose a través de la red) y en uso (en proceso), en busca de signos de exfiltración, y bloquean la exfiltración si se detectan tales signos.Por ejemplo, la tecnología DLP puede impedir que los datos se copien en un servicio de almacenamiento en la nube no autorizado, o que una aplicación no autorizada los procese (por ejemplo, una aplicación que un usuario descarga de la web).
Tecnologías de detección y respuesta a amenazas.Una clase creciente de tecnologías de ciberseguridad supervisan y analizan continuamente el tráfico de la red corporativa y la actividad de los usuarios y ayudan a los equipos de seguridad sobrecargados a detectar amenazas cibernéticas en tiempo real o casi real y responder con una intervención manual mínima.Estas tecnologías incluyen sistemas de detección de intrusiones (IDS por sus siglas en inglés) y sistemas de prevención de intrusiones (IPS), gestión de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR) software, y soluciones de detección y respuesta a puntos finales (EDR) y soluciones de respuesta ampliada (XDR).
Supere los ataques con una suite de seguridad conectada y modernizada.La cartera de QRadar integrada IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
Implementadas en las instalaciones o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad y conocimientos para investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar el cumplimiento normativo.
La búsqueda proactiva de amenazas, la supervisión continua y una investigación profunda de las amenazas son solo algunas de las prioridades a las que se enfrenta un departamento de TI que ya está muy ajetreado.Contar con un equipo de respuesta a incidentes que sea de confianza puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restablecer el acceso a los datos.
En su 17ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
CISO, equipos de seguridad y dirigentes empresariales: obtenga información práctica para comprender cómo atacan los agentes de las amenazas y cómo proteger su organización de forma proactiva.