Se produce una violación de datos -o data exfiltration– cuando se produce una copia, transferencia o recuperación no autorizada de datos de un servidor u ordenador.
La exfiltración de datos es uno de los principales problemas de seguridad de las empresas. Según un estudio reciente de McAfee, el 61% de los profesionales de la seguridad informática han sufrido una violación de datos en sus empresas actuales. Con normativas de protección de datos cada vez más estrictas, como el GDPR y la CCPA (Ley de Privacidad del Consumidor de California), lo que está en juego en caso de violación de datos es muy importante.
Todo sobre Exfiltración de Datos
¿Qué es la Exfiltración de Datos?
De hecho, la exfiltración se define como la copia, transferencia o recuperación no autorizada de datos de una red o dispositivo.
Básicamente, se tratará de una exfiltración siempre que un malware o un ciberdelincuente transfiera datos de un dispositivo víctima sin autorización alguna. Pero eso no es todo.
La exfiltración de datos puede producirse como resultado de un ataque realizado mediante una memoria USB, o una impresora, no importa.
Los ataques de exfiltración de datos suelen ser realizados por hackers que consiguen acceder a la red de alguna manera.
Esto no quita que el proceso de exfiltración también pueda ser llevado a cabo por un empleado (es decir, una persona que realmente goce de autorización parcial) que acceda a los sistemas de la empresa para sacar información.
Lo cierto es que las empresas víctimas del ataque se enfrentan a un enorme problema.
Tipos de Exfiltración de Datos
Las técnicas utilizadas para perpetrar la exfiltración de datos incluyen
- Fuga de datos (no intencionada y no necesariamente con mala intención);
- Eliminación de datos;
- Pirateo de cuentas;
- Alteración de privilegios (y posterior adquisición de privilegios de administrador);
- Cracking de credenciales;
- Whaling;
- Phishing;
- Spoofing.
Cómo se Produce la Exfiltración de Datos
Un aspecto preocupante de la filtración de datos es que se trata de un fenómeno difícil de detectar.
Esto se debe a que la operación, que actúa en segundo plano, se lleva a cabo “silenciosamente”. La víctima, en muchas ocasiones, no es capaz de darse cuenta de ello.
Por ello, las organizaciones son muy vulnerables a la pérdida de datos.
Normalmente, el atacante actúa insertando malware en el dispositivo que ha llegado a través de un correo electrónico de phishing.
Una vez que el malware ha penetrado en el sistema, puede escanear otros dispositivos conectados a la misma red, buscando información e intentando exfiltrarla, es decir, sacarla fuera del perímetro de la red.
Las empresas están acostumbradas a mover datos tanto interna como externamente; por lo tanto, la exfiltración parece muy similar al tráfico de red común.
Así, el personal informático puede darse cuenta demasiado tarde de que la pérdida de datos es atribuible al trabajo de un atacante malintencionado.
La Web Oscura y el Mercado de Datos Robados
No es de extrañar que sea en la Dark Web (la parte de Internet que concentra las actividades ilícitas de los delincuentes) donde se cuelgan cerca del 65% de los datos robados en todo el mundo.
Menos del 30% está disponible en la Web navegable.
La cifra más preocupante que se desprende de esta encuesta es el crecimiento del 18% de los datos robados en el último semestre del año pasado.
¿Algo más para reflexionar?
Los delincuentes utilizan blogs, foros y programas de mensajería para distribuir la recaudación, con especial preferencia por Telegram.
En este último caso, proceden a abrir y cerrar salas especialmente dedicadas para intercambiar bases de datos que contienen credenciales y contraseñas robadas.
En el contexto de la cuestión de la exfiltración, hemos de señalar que el fenómeno del robo de credenciales de redes sociales es una categoría en rápido crecimiento. Este tipo de ataque ha alcanzado ya el 13,7% del total. Al dirigirse a distintas víctimas, los delincuentes pueden cambiar las contraseñas de acceso de los usuarios, “bloquearlos” en sus perfiles y pedirles que paguen un rescate.
También a través de los canales sociales, algunos ciberdelincuentes explotan la información obtenida para cometer fraudes. Para ello, basta con ponerse en contacto con los amigos del usuario haciéndose pasar por él y sustituyéndolo.
Los Ciberataques Provocan la Exfiltración de Datos
En primer lugar queremos hablar del correo electrónico saliente, una herramienta que permite exportar calendarios, mensajes, imágenes y documentos diversos.
Una vez en posesión de los datos, los hackers gozan de total libertad para transmitirlos a terceros.
De hecho, basta con estar en posesión de un smartphone, un portátil, una cámara o cualquier unidad externa para exfiltrar datos.
Ten en cuenta que para iniciar el proceso de exfiltración de datos, es necesario que el hacker obtenga acceso directo a los datos.
El atacante puede conseguir esto:
- mediante el envío de un enlace infectado (técnicas de ingeniería social)
- a través de diferentes tipos de malware
- rompiendo una conexión de forma remota
- a través de la vulnerabilidad de un dispositivo (tal vez si se trata de un servidor o NAS)
- comprometiendo la cuenta de usuario (quizás mediante un ataque de fuerza bruta)
- mediante ciberataques avanzados (APT)
Cómo Saber Si Soy Víctima de una Exfiltración de Datos
Tanto la prevención de la exfiltración de datos como la detección del robo de datos obligan a las empresas a esforzarse por lograr una verdadera cultura de seguridad adaptativa.
Igualmente útil es la búsqueda de soluciones centradas en el uso de indicadores para evaluar la verosimilitud de determinados escenarios. Como ya se ha mencionado en uno de los párrafos anteriores, entre las herramientas a las que suelen recurrir los hackers se encuentran los correos electrónicos de phishing. Estos correos electrónicos están estructurados para parecer totalmente legítimos hasta el punto de que, en muchos casos, parecen proceder de remitentes fiables.
Pero, como ya se ha mencionado, en realidad contienen un archivo adjunto llamado a introducir malware en el dispositivo. Otros, en cambio, presentan un enlace a un sitio web (también muy similar a los sitios oficiales) creado específicamente para robar las credenciales de inicio de sesión introducidas por el usuario. Tampoco son infrecuentes los ataques selectivos dirigidos a robar datos de personalidades importantes, como ejecutivos de empresas.
Para reconocer los correos electrónicos, las organizaciones deben adoptar cursos de formación bien estructurados. Mejor aún sería basar los cursos en datos recogidos en la empresa mediante una prueba controlada. Tras el curso, los empleados disponen de los conocimientos necesarios para detectar inmediatamente y eliminar al instante los correos electrónicos sospechosos.
Protección Contra la Exfiltración de Datos
Cuando se aborda el tema de los ciberataques, y más aún si nos centramos en los métodos de exfiltración de datos, no son pocas las empresas que, tras haber ganado unas cuantas “batallas” contra los hackers, creen haber superado el problema.
Existen metodologías para identificar y bloquear los procesos de exfiltración de datos.
He aquí algunas:
- Monitorear herramientas/dispositivos corporativos legítimos
- Análisis del tráfico cifrado
- Seguimiento de las autorizaciones de acceso a los datos
Muchas empresas y organizaciones confían en los sistemas de defensa tradicionales, como las herramientas de prevención de pérdida de datos (DLP), para intentar evitar la filtración de datos. Aunque estas herramientas pueden ser eficaces en algunos casos, a menudo no detectan la filtración de datos debida a amenazas internas.
