¿Qué es la exfiltración de datos?

La exfiltración de datos es el robo o la transferencia no autorizada de datos de un dispositivo o una red. Según el marco MITRE ATT&CK: "Una vez que han recopilado datos, los adversarios a menudo los empaquetan para evitar que los detecten mientras los eliminan. Esto puede incluir la compresión y el cifrado".

¿Cómo sucede la exfiltración de datos?

La exfiltración de datos pueden realizarla personas externas que penetran en la red para robar credenciales de usuarios, propiedad intelectual y secretos comerciales. Los ataques externos generalmente comienzan con la inyección de malware en un endpoint, como un ordenador o un dispositivo móvil, conectado a la red corporativa. El malware filtra los datos a un servidor externo controlado por el atacante, quien luego puede venderlos o publicarlos.

La exfiltración de datos también puede ocurrir cuando un usuario interno transfiere datos fuera de la red; por ejemplo, enviándolos por correo electrónico a una dirección no corporativa o copiándolos a un servicio de almacenamiento en la nube no seguro o a un producto de software como servicio (SaaS). Estas acciones a menudo las llevan a cabo con intenciones benignas empleados que sencillamente tratan de hacer su trabajo, pero están exponiendo los datos a riesgos al transferirlos fuera de la supervisión del equipo de seguridad y las directivas corporativas.

Técnicas habituales de exfiltración de datos

Ingeniería social

La ingeniería social es uno de los métodos más comunes de exfiltración de datos. Un adversario engaña a un usuario para que comparta datos confidenciales o credenciales haciéndose pasar por un empleado o socio legítimo. Por ejemplo, un adversario puede hacerse pasar por un agente del servicio técnico para pedirle a un usuario información confidencial, como su nombre de usuario y contraseña.

Un tipo común de ataque de ingeniería social es el phishing. En los ataques de phishing, el ciberdelincuente envía a los usuarios un correo electrónico que parece provenir de una fuente legítima, como el departamento de RR. HH. El correo electrónico solicitará al usuario que haga clic en un enlace, que enviará a las víctimas a un sitio falso que se parece muchísimo al portal oficial de RR. HH. Este sitio falso puede haberse configurado exclusivamente para recopilar credenciales, o bien puede ser que el código del sitio contenga un script malicioso que instala un registrador de pulsaciones u otro tipo de malware que se empleará para ejecutar la siguiente etapa del ataque de phishing.

Errores humanos

Es común que personas con información privilegiada descarguen datos confidenciales de la empresa desde los dispositivos seguros que les proporciona la empresa a dispositivos personales que no están protegidos por las soluciones o directivas de seguridad de red de sus empleadores. En tal caso, los datos están completamente desprotegidos o únicamente los protege el nivel básico de herramientas de seguridad del consumidor. En esta situación, la exfiltración de datos puede sobrepasar la mera transferencia de archivos: podría incluir fotografías de pantallas de dispositivos tomadas con teléfonos inteligentes, grabaciones de conversaciones, etc.

Cargas a dispositivos externos por parte de un usuario interno malicioso

Los usuarios internos maliciosos son menos comunes que un compañero de trabajo descuidado, pero los primeros pueden causar mucho más daño. Un usuario interno malicioso puede usar credenciales legítimas para llevar a cabo actividades nefastas durante un periodo de tiempo extremadamente largo antes de que se le detecte, si es que alguna vez sucede. Como las credenciales de este usuario son legítimas, su ataque de exfiltración de datos no se detectará a menos que transfiera grandes cantidades de datos valiosos o trate de acceder a partes de sistemas que excedan su nivel de privilegios. Durante su periodo de actividad, los usuarios internos maliciosos generalmente descargan datos de un dispositivo fiable a otro personal o a una memoria USB, y seguidamente los cargan en otro dispositivo, como un servicio de almacenamiento en la dark web, antes de vender o difundir la información.

Prevención de la exfiltración de datos

Las estadísticas sobre cuánto tiempo se tarda en detectar una brecha de datos son alarmantes. Esto se debe a que detectar la exfiltración de datos es difícil; en particular, cuando la técnica que emplea el ciberdelincuente se presenta como tráfico normal de la red.

La práctica defensiva más importante que una empresa puede establecer es también la más complicada: educar a los empleados. Está claro que muchas empresas ya lo hacen con formaciones periódicas y obligatorias en materia de concienciación sobre seguridad, pero la mayoría de los empleados siguen subestimando la probabilidad de ser víctimas de un ataque. Las empresas han de fomentar una cultura de seguridad en toda la organización antes de poder confiar en que sus empleados actuarán como la primera línea de defensa.

Se debe implementar una directiva que permita que cada empleado use su propio dispositivo (BYOD) y esta debe quedar clara para toda la plantilla. Hoy en día, sobre todo dado el auge del teletrabajo, los empleados pueden utilizar cualquier tipo de dispositivo personal para acceder a datos valiosos, desde una consola de videojuegos hasta una torre con Windows 8. Supervisar la red para ver quién está conectado y qué dispositivos está usando no solo es necesario actualmente para prevenir una brecha de datos, sino también para entender cómo interactúan los usuarios con la red a fin de planificar mejor el futuro.

Para mantener a raya las amenazas internas, ya sean por descuido o malicia, se debe controlar el privilegio. Esto implica otorgar solo los privilegios mínimos; controlar dinámicamente los privilegios, de modo que cuando el motivo para acceder a un sistema sensible ya no sea válido, se le retire el acceso al empleado, y revocar sistemáticamente los privilegios de los antiguos empleados desde el momento en que cese la relación laboral con la empresa, en lugar de esperar una semana o dos para eliminar las cuentas antiguas.