Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Impedir la exfiltración de datos y proteger los datos de empresa son cruciales por varias razones:
Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y provocar pérdidas financieras.
Cumplimiento de la normativa: muchos sectores cuentan con normativas específicas de privacidad y protección de datos. La exfiltración de datos a menudo resulta del incumplimiento de estas regulaciones o lo pone al descubierto, y puede resultar en sanciones graves y daños duraderos a la reputación.
Protección de la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.
Para los ciberdelincuentes, los datos confidenciales son un objetivo extremadamente valioso. Los datos robados de los clientes, la información de identificación personal (PII), los números de la seguridad social o cualquier otro tipo de información confidencial pueden venderse en el mercado negro. Los datos robados también pueden utilizarse para ejecutar más ciberataques o pueden retenerse como rehenes a cambio de tarifas exorbitantes como parte de un ataque de ransomware .
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el IBM Security X-Force Threat Intelligence Index.
Regístrese para recibir el informe "Coste de una filtración de datos"
Aunque a menudo se utilizan indistintamente, la fuga de datos, la vulneración de datos y la exfiltración de datos son conceptos diferentes, aunque están relacionados.
La fuga de datos es la exposición accidental de datos confidenciales. La fuga de datos puede ser el resultado de una vulnerabilidad de seguridad técnica o un error de seguridad de procedimiento.
Una vulneración de datos es cualquier incidente de seguridad que resulta en el acceso no autorizado a información confidencial o sensible. Alguien que no debería tener acceso a datos confidenciales, obtiene acceso a estos.
La exfiltración de datos es el acto discreto de robar los datos. Toda exfiltración de datos requiere una fuga o vulneración de datos, pero no todas las fugas o vulneraciones de datos conducen a una exfiltración de datos. Por ejemplo, un actor de amenazas puede optar por cifrar los datos como parte de un ataque de ransomware o utilizarlos para secuestrar la cuenta de correo electrónico de un ejecutivo. No es exfiltración de datos hasta que los datos se copian o se trasladan a algún otro dispositivo de almacenamiento bajo el control del atacante.
Es importante hacer esta distinción. Una búsqueda en Google de "costes de la exfiltración de datos" suele mostrar información general sobre los costes de las vulneraciones de datos, pero no mucho sobre los costes de la exfiltración de datos. Suelen incluir el pago de importantes rescates para evitar la venta o divulgación de los datos filtrados y otros rescates para prevenir posibles ataques posteriores.
Normalmente, la exfiltración de datos se debe a
Un atacante externo: un hacker, ciberdelincuente, adversario extranjero u otro actor malicioso.
Una amenaza interna descuidada: un empleado, socio comercial u otro usuario autorizado que sin darse cuenta expone datos a través de un error humano, falta de juicio (por ejemplo, caer en una estafa de phishing ) o ignorancia de los controles, políticas y mejores prácticas de seguridad. Por ejemplo, un usuario que transfiere datos confidenciales a una unidad flash USB, un disco duro portátil u otro dispositivo no seguro representa una amenaza.
En casos más raros, la causa es una amenaza interna maliciosa: un agente malicioso con acceso autorizado a la red, como un empleado descontento.
Los atacantes externos y los usuarios internos negligentes se aprovechan de los internos descuidados o mal capacitados y de las vulnerabilidades de seguridad técnica para acceder y robar datos confidenciales.
Los ataques de ingeniería social explotan la psicología humana para manipular o engañar a una persona para que ponga en peligro su propia seguridad o la de su organización.
El tipo más común de ataque de ingeniería social es el phishing, el uso de mensajes de correo electrónico, de texto o de voz que suplantan la identidad de un remitente de confianza y convencen a los usuarios para que realicen alguna de las siguientes acciones:
- Descargar malware (como ransomware)
- Pulsar en enlaces a sitios web maliciosos
- Renunciar a información personal (por ejemplo, credenciales de inicio de sesión)
- Entregar directamente los datos que el atacante quiere exfiltrar
Los ataques de phishing pueden ir desde mensajes de phishing masivos impersonales que parecen provenir de marcas u organizaciones de confianza, hasta ataques de spear phishing altamente personalizados, whale phishing y ataques de compromiso de correo electrónico empresarial (BEC). Los ataques BEC se dirigen a personas específicas con mensajes que parecen provenir de colegas cercanos o figuras de autoridad.
Pero la ingeniería social puede ser mucho menos técnica. Una técnica de ingeniería social, llamada cebo, es tan simple como dejar una memoria USB infectada con malware donde el usuario la recoja. Otra técnica, denominada tailgaiting, consiste simplemente en seguir a un usuario autorizado hasta una habitación o un lugar físico donde se almacenan datos.
Una explotación de vulnerabilidad aprovecha un fallo de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo. Los exploits de día cero aprovechan los defectos de seguridad que descubren los hackers antes de que los proveedores de software o dispositivos sepan sobre ellos o sean capaces de solucionarlos. El túnel DNS utiliza solicitudes al servicio de nombres de dominio (DNS) para evadir las defensas del firewall y crear un túnel virtual para filtrar información confidencial.
Para las personas, los datos robados mediante la exfiltración pueden tener consecuencias costosas, como el robo de identidad, el chantaje o con tarjetas y el chantaje o la extorsión. Para las organizaciones, especialmente las organizaciones de sectores altamente regulados, como la sanidad y las finanzas, las consecuencias son órdenes de magnitud más costosas. Las siguientes consecuencias son ejemplos de lo que puede ocurrir:
Interrupción de las operaciones como consecuencia de la pérdida de datos cruciales para la empresa
Pérdida de la confianza de los clientes o del negocio
Secretos comerciales comprometidos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación
Graves multas reglamentarias, tasas y otras sanciones para las organizaciones que están obligadas por ley a adherirse a estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos sensibles de los clientes
Ataques posteriores que son posibles gracias a los datos exfiltrados
Es difícil encontrar informes o estudios sobre los costes atribuibles directamente a la exfiltración de datos, pero los incidentes de exfiltración de datos están aumentando rápidamente. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión: el ciberdelincuente cifra los datos de la víctima y los exfiltra. A continuación, el ciberdelincuente pide un rescate para desbloquear los datos (de modo que la víctima pueda reanudar las operaciones comerciales) y rescates posteriores para impedir la venta o divulgación de los datos a terceros.
En 2020, los ciberdelincuentes extrajeron cientos de millones de registros de clientes solo de Microsoft y Facebook. En 2022, el grupo de piratería Lapsus$ exfiltró un terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de deep learning de la empresa. Si los hackers siguen el dinero, será porque el dinero obtenido de la exfiltración de datos debe ser bueno y cada vez mejor.
Las organizaciones utilizan una combinación de prácticas recomendadas y soluciones de seguridad para evitar la exfiltración de datos.
Formación de concienciación sobre seguridad. Dado que el phishing es un vector de ataque de exfiltración de datos tan común, capacitar a los usuarios para reconocer estafas de phishing puede ayudar a bloquear intentos de exfiltración de datos por parte de hackers. Educar a los usuarios sobre prácticas recomendadas para el trabajo a distancia, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.
Gestión de identidades y accesos (IAM). Los sistemas IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red. Estos sistemas agilizan el acceso para los usuarios autorizados al tiempo que mantienen alejados a los usuarios no autorizados y a los piratas informáticos. IAM puede combinar las siguientes tecnologías:
Autenticación multifactor: se requiere una o más credenciales de inicio de sesión además de un nombre de usuario y una contraseña.
Control de acceso basado en roles (RBAC): proporciona permisos de acceso basados en el rol del usuario en la organización.
Autenticación adaptativa: exigir a los usuarios que vuelvan a autenticarse cuando cambia el contexto (por ejemplo, cuando cambian de dispositivo o intentan acceder a aplicaciones o datos especialmente sensibles).
Inicio de sesión único: permite a los usuarios iniciar una sesión una sola vez utilizando un único conjunto de credenciales de inicio de sesión, y acceder a múltiples servicios relacionados en las instalaciones o en la nube durante esa sesión sin tener que volver a iniciar sesión.
Prevención de pérdida de datos (DLP). Las soluciones DLP monitorizan e inspeccionan datos confidenciales en cualquier estado, en reposo (en almacenamiento), en movimiento (moviéndose a través de la red) y en uso (en proceso), en busca de signos de exfiltración, y bloquean la exfiltración en consecuencia. Por ejemplo, la tecnología DLP puede impedir que los datos se copien en un servicio de almacenamiento en la nube no autorizado, o que una aplicación no autorizada (por ejemplo, una aplicación que un usuario descarga de la web).
Tecnologías de detección y respuesta a amenazas. Una clase creciente de tecnologías de ciberseguridad monitoriza y analiza continuamente el tráfico de la red corporativa y la actividad de los usuarios. Estas tecnologías ayudan a los equipos de seguridad sobrecargados a detectar ciberamenazas en tiempo real o casi real y a responder con una intervención manual mínima. Estas tecnologías incluyen las siguientes:
Implementadas en las instalaciones o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar el cumplimiento normativo.
La búsqueda proactiva de amenazas, la monitorización continua y la investigación en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Un equipo de respuesta a incidentes de confianza en espera puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotajes, fallos de hardware y otros riesgos de pérdida de datos.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para desencriptar y restaurar el acceso a los datos.
En su 17ª edición, este informe comparte los últimos conocimientos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
CISO, equipos de seguridad y dirigentes empresariales: obtenga información práctica para comprender cómo atacan los delincuentes de las amenazas y cómo proteger su organización de forma proactiva.