¿Qué es la exfiltración de datos?
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dibujo isométrico que muestra a personal de oficina diferente utilizando IBM Security

La exfiltración de datos, también conocida como extrusión de datos o exportación de datos, es el robo de datos: la transferencia intencional, no autorizada y encubierta de datos desde una computadora u otro dispositivo. La exfiltración de datos se puede realizar manualmente o automatizar mediante malware.

Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Prevenir la exfiltración de datos y proteger los datos de la empresa son cruciales por varias razones:

  • Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y llevar a pérdidas financieras.
     

  • Cumplimiento normativo: muchas industrias tienen regulaciones específicas con respecto a la privacidad y protección de datos. La exfiltración de datos a menudo resulta de o expone un incumplimiento de estas regulaciones y puede resultar en sanciones graves y daños duraderos a la reputación.
     

  • Proteger la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo, y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.

Para los delincuentes cibernéticos, los datos confidenciales se han convertido en un objetivo extremadamente valioso. Los datos robados de los clientes, la información de identificación personal (PII), los números de seguridad social o cualquier otro tipo de información confidencial se pueden vender en el mercado negro, que se utilizan para ejecutar más ataques cibernéticos o tener a alguien de rehén a cambio de tarifas exorbitantes como parte del ataque de ransomware.

Exfiltración de datos vs. fuga de datos vs. filtración de datos

Aunque a menudo se usa indistintamente, la fuga de datos, la filtración de datos y la exfiltración de datos son conceptos diferentes, si es que están relacionados.

La fuga de datos es la exposición accidental de datos confidenciales. La fuga de datos puede resultar de una vulnerabilidad de seguridad técnica o de un error de seguridad de procedimientos.

Una filtración de datos es cualquier incidente de seguridad que genera acceso no autorizado a información confidencial o confidencial. Alguien que no debería tener acceso a datos confidenciales, lo obtiene.

La exfiltración de datos es el acto discreto de robar los datos. Toda exfiltración de datos requiere una fuga de datos o una filtración de datos, pero no todas las fugas de datos o filtración de datos conducen a la exfiltración de datos: un actor de amenazas puede optar por cifrar los datos, como parte de un ataque de ransomware, o utilizarlos para secuestrar la cuenta de correo electrónico de un ejecutivo. No es una exfiltración de datos hasta que los datos se copian o se mueven a algún otro dispositivo de almacenamiento bajo el control del atacante.

La distinción es importante. Busque en Google 'costos de exfiltración de datos' y encontrará mucha información sobre los costos de las filtraciones de datos, en gran parte porque hay muy pocos datos disponibles sobre los costos directamente atribuibles a la exfiltración de datos. Pero muchos cálculos de costos de filtración de datos no incluyen costos relacionados específicamente con la exfiltración, como el costo a menudo sustancial de los pagos de rescate para evitar la venta o liberación de datos exfiltrados, o el costo de los ataques posteriores habilitados por exfiltración de datos.

¿Cómo se produce la exfiltración de datos?

En la mayoría de los casos, la exfiltración de datos es causada por

  • Un atacante externo: un hacker, delincuente cibernético, adversario extranjero u otro actor malicioso.
     

  • Un usuario interno descuidado: un empleado, socio comercial u otro usuario autorizado que inadvertidamente expone datos a través de errores humanos, mal juicio (por ejemplo, caer en una estafa de phishing) o ignorancia de los controles de seguridad, políticas y mejores prácticas (por ejemplo, transferir datos confidenciales a una unidad de disco duro portátil u otro dispositivo no seguro).

En casos más raros, la causa es un usuario interno malicioso: un actor malicioso con acceso autorizado a la red, como un empleado descontento.

Técnicas comunes de exfiltración de datos y vectores de ataque

Los atacantes externos y los usuarios internos maliciosos se aprovechan de los usuarios internos descuidados o mal capacitados, así como de vulnerabilidades de seguridad técnica, para acceder a datos confidenciales y robarlos.

Phishing y otros ataques de ingeniería social

Los ataques de ingeniería social aprovechan la psicología humana para manipular o engañar a las personas para que tomen medidas que comprometan su propia seguridad o la seguridad de su organización.

El tipo más común de ataque de ingeniería social es el phishing, el uso de correo electrónico, mensajes de texto o de voz que se hacen pasar por un remitente de confianza y convence a los usuarios de descargar malware (como ransomware), hacer clic en enlaces a sitios web maliciosos, entregar información personal (por ejemplo, credenciales de inicio de sesión) o, en algunos casos, entregar directamente los datos que el atacante desea exfiltrar.

Los ataques de phishing pueden variar desde mensajes de phishing masivos impersonales que parecen provenir de marcas u organizaciones de confianza, hasta ataques de spear phishing altamente personalizados, whale phishing y compromiso de correo electrónico empresarial (BEC) que se dirigen a individuos específicos con mensajes que parecen provenir de colegas cercanos o figuras de autoridad.

Pero la ingeniería social puede ser mucho menos técnica. Una técnica de ingeniería social, llamada baiting, es tan simple como dejar una memoria infectada con un malware donde un usuario la tomará Otra técnica, llamada tailgaiting, no es más compleja que seguir a un usuario autorizado en una ubicación física de la sala donde se almacenan los datos.

Aprovechamientos de vulnerabilidades

Un aprovechamiento de vulnerabilidad saca ventaja de un fallo de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo. Los ataques de día cero aprovechan los defectos de seguridad que los hackers descubren antes de que los proveedores de software o dispositivos conozcan o puedan solucionarlos. El túnel DNS utiliza solicitudes de servicio de nombres de dominio (DNS) para evadir las defensas del firewall y crear un túnel virtual para exfiltrar información confidencial.

El costo de la exfiltración de datos

Para las personas, los datos robados a través de la exfiltración pueden generar consecuencias costosas, como robo de identidad, fraude con tarjeta de crédito o cuenta bancaria, y chantaje o extorsión. Para las organizaciones, especialmente las de sectores muy regulados, como la atención médica y las finanzas, las consecuencias son mucho más costosas. Por ejemplo:

  • Interrupción de las operaciones como consecuencia de la pérdida de datos críticos para la empresa;
     

  • Pérdida de la confianza de los clientes o del negocio;
     

  • Compromiso de secretos comerciales valiosos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación;
     

  • Graves multas reglamentarias, tasas y otras sanciones para las organizaciones obligadas por ley a cumplir estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos sensibles de clientes;
     

  • Los ataques posteriores son posibles gracias a los datos exfiltrados.

Es difícil encontrar informes o estudios sobre los costes atribuibles directamente a la filtración de datos, pero la incidencia de la filtración de datos está aumentando rápidamente. Hoy en día la mayoría de los ataques de ransomware son ataques de doble extorsión: el delincuente cibernético cifra los datos de la víctima y los exfiltra, luego exige un rescate para desbloquear los datos (para que la víctima pueda reanudar las operaciones comerciales) y un rescate posterior para evitar la venta o liberación de los datos a terceros.

En 2020, los ciberdelincuentes exfiltraron cientos de millones de registros de clientes solo de Microsoft y Facebook. En 2022, el grupo de hackers Lapsus$ exfiltró 1 terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de aprendizaje profundo de la empresa. Si los hackers siguen el dinero, el dinero de la exfiltración de datos debe ser bueno y mejorar.

Prevención de exfiltración de datos

Las organizaciones utilizan una combinación de mejores prácticas y soluciones de seguridad para evitar la exfiltración de datos.

Capacitación en concientización sobre seguridad. Dado que el phishing es un vector de ataque tan común en la filtración de datos, capacitar a los usuarios para que reconozcan las estafas de phishing puede ayudar a bloquear los intentos de los hackers de extraer datos. Educar a los usuarios sobre las mejores prácticas para el trabajo remoto, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el manejo, transferencia y almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.

Gestión de identidad y acceso (IAM). Los sistemas IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red, de una manera que agiliza el acceso para los usuarios autorizados, al tiempo que mantiene fuera a los usuarios no autorizados, incluidos los hackers. IAM puede combinar tecnologías, como

  • Autenticación multifactor que requiere una o más credenciales de inicio de sesión (además de un nombre de usuario y una contraseña)
     

  • Control de acceso basado en roles (RBAC): permisos de acceso basados en el rol del usuario en la organización
     

  • Autenticación adaptativa que requiere que los usuarios se vuelvan a autenticar cuando cambia el contexto (por ejemplo, cambian de dispositivo o intentan acceder a aplicaciones o datos particularmente confidenciales)
     

  • Inicio de sesión único con un esquema de autenticación que permite a los usuarios iniciar sesión una vez con un único conjunto de credenciales de inicio de sesión y acceder a varios servicios en las instalaciones o en la nube durante esa sesión sin volver a iniciar sesión.

Prevención de pérdida de datos (DLP). Las soluciones DLP monitorean e inspeccionan datos confidenciales en cualquier estado, en reposo (en almacenamiento), en movimiento (a través de la red) y en uso (en proceso), en busca de signos de exfiltración y bloquean la exfiltración si se detectan esos signos. Por ejemplo, la tecnología DLP puede impedir que los datos se copien a un servicio de almacenamiento en la nube no autorizado o que sean procesados por una aplicación no autorizada (por ejemplo, una aplicación que un usuario descarga desde la web).

Tecnologías de detección y respuesta a amenazas. Una clase creciente de tecnologías de ciberseguridad monitorea y analiza continuamente el tráfico de la red corporativa y la actividad del usuario, y ayuda a los equipos de seguridad sobrecargados a detectar amenazas cibernéticas en tiempo real o casi real y responder con una intervención manual mínima. Estas tecnologías incluyen sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS), software de gestión de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR), y detección y respuesta de endpoints (EDR) y soluciones de detección y respuesta extendidas (XDR) .

Soluciones relacionadas
IBM Security® QRadar® Suite

Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoints, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.

Conozca QRadar Suite
Soluciones de seguridad y protección de datos

Implementadas a nivel local o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad e insights para investigar y remediar las amenazas cibernéticas, aplicar controles en tiempo real y administrar el cumplimiento regulatorio.

Conozca las soluciones de seguridad y protección de datos
Equipo de respuesta a incidentes X-Force

La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.

Explore la respuesta ante incidentes de X-Force
Recursos ¿Qué es el ransomware?

El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restaurar el acceso a los datos.

Costo de una filtración de datos en 2022

En su 17.ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

Índice X-Force Threat Intelligence 2023

CISO, equipos de seguridad y líderes empresariales: obtengan insights prácticos para comprender cómo atacan los actores de amenazas y cómo proteger su organización de forma proactiva.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM Security QRadar SIEM facilita la corrección de amenazas más rápido mientras mantiene sus resultados. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarlo a detectar amenazas que otros simplemente omiten.

Más información sobre QRadar SIEM Solicite una demostración de QRadar SIEM