¿Qué es la exfiltración de datos?

¿Qué es la exfiltración de datos?

La exfiltración de datos, también conocida como extrusión o exportación de datos, es el robo de datos: la transferencia intencional, no autorizada y encubierta de datos desde una computadora u otro dispositivo. La exfiltración de datos se puede realizar manualmente o automatizar mediante malware.

Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Prevenir la exfiltración de datos y proteger los datos de la empresa son cruciales por varias razones:

  • Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y llevar a pérdidas financieras.
     

  • Cumplir con las regulaciones: muchas industrias tienen regulaciones específicas de privacidad y protección de datos. La exfiltración de datos a menudo resulta de un incumplimiento de estas regulaciones, o expone uno, y puede causar sanciones graves y daños duraderos a la reputación.
     

  • Proteger la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo, y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.

Para los delincuentes cibernéticos, los datos confidenciales son un objetivo extremadamente valioso. Los datos robados de clientes, la información de identificación personal (PII), los números de seguro social o cualquier otro tipo de información confidencial pueden venderse en el mercado negro. Los datos robados también pueden emplearse para ejecutar más ciberataques o tomarse como rehenes a cambio de costos exorbitantes como parte de un ataque de ransomware.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Exfiltración de datos vs. fuga de datos vs. filtración de datos

Aunque a menudo se usa indistintamente, la fuga de datos, la filtración de datos y la exfiltración de datos son conceptos diferentes, si es que están relacionados.

La fuga de datos es la exposición accidental de datos confidenciales. La fuga de datos puede resultar de una vulnerabilidad de seguridad técnica o de un error de seguridad de procedimientos.

Una filtración de datos es cualquier incidente de seguridad que genera acceso no autorizado a información confidencial o confidencial. Alguien que no debería tener acceso a datos confidenciales, lo obtiene.

La exfiltración de datos es el acto discreto de robar los datos. Toda exfiltración de datos requiere una fuga o filtración de datos, pero no todas las fugas o filtraciones de datos llevan a la exfiltración de datos. Por ejemplo, un actor de amenazas puede optar por cifrar los datos como parte de un ataque de ransomware o usarlos para secuestrar la cuenta de correo electrónico de un ejecutivo. No es una exfiltración de datos hasta que los datos se copian o se mueven a algún otro dispositivo de almacenamiento bajo el control del atacante.

La distinción es importante. Una búsqueda en Google de "costos de exfiltración de datos" muestra información general sobre los costos de las filtraciones de datos, pero no mucho sobre los costos de la exfiltración de datos. Estos, a menudo, incluyen pagos sustanciales de rescate para evitar la venta o liberación de datos exfiltrados y rescates adicionales para evitar posibles ataques posteriores.

¿Cómo se produce la exfiltración de datos?

Por lo general, la exfiltración de datos es causada por

  • Un atacante externo: un hacker, delincuente cibernético, adversario extranjero u otro actor malicioso.
     

  • Una amenaza de un usuario interno descuidado: un empleado, asociado de negocios u otro usuario autorizado que sin querer expone datos a través de un error humano, falta de criterio (por ejemplo, caer en una estafa de phishing) o ignorancia de los controles, políticas y mejores prácticas de seguridad. Por ejemplo, un usuario que transfiere datos confidenciales a una unidad flash USB, un disco duro portátil u otro dispositivo no seguro representa una amenaza.

En casos más raros, la causa es un usuario interno malicioso: un actor malicioso con acceso autorizado a la red, como un empleado descontento.

Técnicas comunes de exfiltración de datos y vectores de ataque

Los atacantes externos y los usuarios internos maliciosos se aprovechan de los usuarios descuidados o mal capacitados y de vulnerabilidades de seguridad técnica para acceder a datos confidenciales y robarlos.

Phishing y otros ataques de ingeniería social

Los ataques de ingeniería social aprovechan la psicología humana para manipular o engañar a la persona para que comprometa su propia seguridad o la seguridad de su organización.

El tipo más común de ataque de ingeniería social es el phishing, el uso de correos electrónicos, o mensajes de texto o de voz que suplantan a un remitente confiable y convencen a los usuarios de realizar cualquiera de las siguientes acciones:

  • Descargar malware (como ransomware)
  • Hacer clic en los enlaces a sitios web maliciosos
  • Dar información personal (por ejemplo, credenciales de inicio de sesión)
  • Entregar directamente los datos que el atacante quiere exfiltrar

Los ataques de phishing pueden ir desde mensajes impersonales masivos de phishing que parecen proceder de marcas u organizaciones de confianza, hasta ataques altamente personalizados de phishing focalizado, whale phishing y business email compromise (BEC). Los ataques de BEC se dirigen a personas concretas con mensajes que parecen proceder de colegas cercanos o figuras de autoridad.

Pero la ingeniería social puede ser mucho menos técnica. Una técnica de ingeniería social, llamada baiting, es tan simple como dejar una memoria infectada con un malware donde un usuario la tomará Otra técnica, llamada tailgaiting, consiste simplemente en seguir a un usuario autorizado a una habitación o a una ubicación física donde se almacenan los datos.

Aprovechamientos de vulnerabilidades

Una explotación de vulnerabilidad se beneficia de una falla de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo. Las explotaciones de día cero usan los defectos de seguridad que los hackers descubren antes de que los proveedores de software o dispositivos los conozcan o puedan solucionarlos. El túnel DNS utiliza solicitudes de servicio de nombres de dominio (DNS) para evadir las defensas del cortafuegos y crear un túnel virtual para exfiltrar información confidencial.

El costo de la exfiltración de datos

Para las personas, los datos robados mediante exfiltración pueden tener consecuencias costosas, como robo de identidad, fraude bancario o de tarjetas de crédito y chantaje o extorsión. Para las organizaciones, especialmente las de industrias muy reguladas, como la atención médica y las finanzas, las consecuencias son mucho más costosas. Las siguientes consecuencias son ejemplos de lo que puede ocurrir:

  • Interrupción de las operaciones a causa de la pérdida de datos críticos para la empresa
     

  • Pérdida de la confianza de los clientes
     

  • Secretos comerciales comprometidos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación.
     

  • Sanciones reglamentarias, tasas y otras sanciones estrictas para las organizaciones obligadas por ley a cumplir con estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos sensibles de clientes
     

  • Ataques posteriores que son posibles gracias a los datos exfiltrados

Los informes o estudios de costos atribuibles directamente a la exfiltración de datos son difíciles de encontrar, pero los incidentes de exfiltración de datos están aumentando rápidamente. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión: el delincuente cibernético encripta los datos de la víctima y los exfiltra. A continuación, el delincuente cibernético exige un rescate para desbloquear los datos (para que la víctima pueda reanudar las operaciones comerciales) y rescates posteriores para evitar la venta o divulgación de los datos a terceros.

En 2020, los delincuentes cibernéticos exfiltraron cientos de millones de registros de clientes solo de Microsoft y Facebook. En 2022, el grupo de hackers Lapsus exfiltró 1 terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de aprendizaje profundo de la empresa. Si los hackers siguen el dinero, el dinero de la exfiltración de datos debe ser bueno y mejorar.

Prevención de exfiltración de datos

Las organizaciones utilizan una combinación de mejores prácticas y soluciones de seguridad para evitar la exfiltración de datos.

Capacitación en seguridad. Dado que el phishing es un vector de ataque tan común en la exfiltración de datos, capacitar a los usuarios para que reconozcan las estafas de phishing puede ayudar a bloquear los intentos de exfiltración de datos por parte de los hackers. Educar a los usuarios sobre las mejores prácticas para el trabajo remoto, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el manejo, transferencia y almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.

Gestión de identidad y acceso (IAM). Los sistemas de IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red. Estos sistemas agilizan el acceso para los usuarios autorizados, al tiempo que mantienen alejados a los usuarios no autorizados y a los hackers. La IAM puede combinar las siguientes tecnologías:

  • Autenticación multifactor que requiere una o más credenciales de inicio de sesión además de un nombre de usuario y una contraseña.
     

  • Control de acceso basado en roles (RBAC): proporcionar permisos de acceso basados en el rol del usuario en la organización.
     

  • Autenticación adaptativa que requiere que los usuarios se vuelvan a autenticar cuando cambia el contexto (por ejemplo, cambian de dispositivo o intentan acceder a aplicaciones o datos particularmente confidenciales).
     

  • Inicio de sesión único (SSO):permite a los usuarios iniciar sesión una vez mediante un único conjunto de credenciales de inicio de sesión y acceder a múltiples servicios on premises o en la nube relacionados durante esa sesión sin volver a iniciar sesión.

Prevención de pérdida de datos (DLP). Las soluciones de DLP monitorean e inspeccionan los datos confidenciales en cualquier estado —en reposo (en almacenamiento), en movimiento (moverse a través de la red) y en uso (en proceso)— en busca de signos de exfiltración, y bloquean la exfiltración en consecuencia. Por ejemplo, la tecnología de DLP puede impedir que los datos se copien a un servicio de almacenamiento en la nube no autorizado o que sean procesados por una aplicación no autorizada (por ejemplo, una aplicación que un usuario descarga desde la web).

Tecnologías de detección y respuesta a amenazas. Una clase creciente de tecnologías de ciberseguridad monitorea y analiza continuamente el tráfico de la red corporativa y la actividad de los usuarios. Estas tecnologías ayudan a los equipos de seguridad sobrecargados a detectar ciberamenazas en tiempo real o casi real y responder con una mínima intervención manual. Estas tecnologías incluyen las siguientes: 

  1. Sistemas de detección de intrusos (IDS)
  2. Sistemas de prevención de intrusiones (IPS)
  3. Información de seguridad y gestión de eventos (SIEM)
  4. Software de orquestación, automatización y respuesta de seguridad (SOAR)
  5. Detección y respuesta de endpoint (EDR)
  6. Soluciones de detección y respuesta extendidas (XDR)

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de plataformas de seguridad de datos de KuppingerCole ofrece orientación y recomendaciones para encontrar productos de protección y gobernanza de datos confidenciales que satisfagan mejor las necesidades de los clientes.
IBM X-Force Threat Intelligence Index 2025

Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el retorno de la inversión (ROI) de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con medidas de seguridad, reducir el riesgo y gestionar el proceso de gobernanza para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus habilidades con tutoriales gratuitos de seguridad

Siga pasos claros para completar tareas y aprenda a usar tecnologías de manera efectiva en sus proyectos.
¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y las licencias de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en múltiples entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales on premises y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM ofrece servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones e IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en las distintas nubes híbridas y simplifique los requisitos de cumplimiento normativo con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Reserve una demostración en vivo