La exfiltración de datos, también conocida como extrusión o exportación de datos, es el robo de datos: la transferencia intencional, no autorizada y encubierta de datos desde una computadora u otro dispositivo. La exfiltración de datos se puede realizar manualmente o automatizar mediante malware.
Para objetivos que van desde usuarios promedio hasta grandes empresas y agencias gubernamentales, los ataques de exfiltración de datos se encuentran entre las amenazas de ciberseguridad más destructivas y dañinas. Prevenir la exfiltración de datos y proteger los datos de la empresa son cruciales por varias razones:
Mantener la continuidad del negocio: la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y llevar a pérdidas financieras.
Cumplir con las regulaciones: muchas industrias tienen regulaciones específicas de privacidad y protección de datos. La exfiltración de datos a menudo resulta de un incumplimiento de estas regulaciones, o expone uno, y puede causar sanciones graves y daños duraderos a la reputación.
Proteger la propiedad intelectual: la exfiltración de datos puede comprometer los secretos comerciales, la investigación y el desarrollo, y otra información patentada esencial para la rentabilidad y la ventaja competitiva de una organización.
Para los delincuentes cibernéticos, los datos confidenciales son un objetivo extremadamente valioso. Los datos robados de clientes, la información de identificación personal (PII), los números de seguro social o cualquier otro tipo de información confidencial pueden venderse en el mercado negro. Los datos robados también pueden emplearse para ejecutar más ciberataques o tomarse como rehenes a cambio de costos exorbitantes como parte de un ataque de ransomware.
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Aunque a menudo se usa indistintamente, la fuga de datos, la filtración de datos y la exfiltración de datos son conceptos diferentes, si es que están relacionados.
La fuga de datos es la exposición accidental de datos confidenciales. La fuga de datos puede resultar de una vulnerabilidad de seguridad técnica o de un error de seguridad de procedimientos.
Una filtración de datos es cualquier incidente de seguridad que genera acceso no autorizado a información confidencial o confidencial. Alguien que no debería tener acceso a datos confidenciales, lo obtiene.
La exfiltración de datos es el acto discreto de robar los datos. Toda exfiltración de datos requiere una fuga o filtración de datos, pero no todas las fugas o filtraciones de datos llevan a la exfiltración de datos. Por ejemplo, un actor de amenazas puede optar por cifrar los datos como parte de un ataque de ransomware o usarlos para secuestrar la cuenta de correo electrónico de un ejecutivo. No es una exfiltración de datos hasta que los datos se copian o se mueven a algún otro dispositivo de almacenamiento bajo el control del atacante.
La distinción es importante. Una búsqueda en Google de "costos de exfiltración de datos" muestra información general sobre los costos de las filtraciones de datos, pero no mucho sobre los costos de la exfiltración de datos. Estos, a menudo, incluyen pagos sustanciales de rescate para evitar la venta o liberación de datos exfiltrados y rescates adicionales para evitar posibles ataques posteriores.
Por lo general, la exfiltración de datos es causada por
Un atacante externo: un hacker, delincuente cibernético, adversario extranjero u otro actor malicioso.
Una amenaza de un usuario interno descuidado: un empleado, asociado de negocios u otro usuario autorizado que sin querer expone datos a través de un error humano, falta de criterio (por ejemplo, caer en una estafa de phishing) o ignorancia de los controles, políticas y mejores prácticas de seguridad. Por ejemplo, un usuario que transfiere datos confidenciales a una unidad flash USB, un disco duro portátil u otro dispositivo no seguro representa una amenaza.
En casos más raros, la causa es un usuario interno malicioso: un actor malicioso con acceso autorizado a la red, como un empleado descontento.
Los atacantes externos y los usuarios internos maliciosos se aprovechan de los usuarios descuidados o mal capacitados y de vulnerabilidades de seguridad técnica para acceder a datos confidenciales y robarlos.
Los ataques de ingeniería social aprovechan la psicología humana para manipular o engañar a la persona para que comprometa su propia seguridad o la seguridad de su organización.
El tipo más común de ataque de ingeniería social es el phishing, el uso de correos electrónicos, o mensajes de texto o de voz que suplantan a un remitente confiable y convencen a los usuarios de realizar cualquiera de las siguientes acciones:
- Descargar malware (como ransomware)
- Hacer clic en los enlaces a sitios web maliciosos
- Dar información personal (por ejemplo, credenciales de inicio de sesión)
- Entregar directamente los datos que el atacante quiere exfiltrar
Los ataques de phishing pueden ir desde mensajes impersonales masivos de phishing que parecen proceder de marcas u organizaciones de confianza, hasta ataques altamente personalizados de phishing focalizado, whale phishing y business email compromise (BEC). Los ataques de BEC se dirigen a personas concretas con mensajes que parecen proceder de colegas cercanos o figuras de autoridad.
Pero la ingeniería social puede ser mucho menos técnica. Una técnica de ingeniería social, llamada baiting, es tan simple como dejar una memoria infectada con un malware donde un usuario la tomará Otra técnica, llamada tailgaiting, consiste simplemente en seguir a un usuario autorizado a una habitación o a una ubicación física donde se almacenan los datos.
Una explotación de vulnerabilidad se beneficia de una falla de seguridad o una apertura en el hardware, software o firmware de un sistema o dispositivo. Las explotaciones de día cero usan los defectos de seguridad que los hackers descubren antes de que los proveedores de software o dispositivos los conozcan o puedan solucionarlos. El túnel DNS utiliza solicitudes de servicio de nombres de dominio (DNS) para evadir las defensas del cortafuegos y crear un túnel virtual para exfiltrar información confidencial.
Para las personas, los datos robados mediante exfiltración pueden tener consecuencias costosas, como robo de identidad, fraude bancario o de tarjetas de crédito y chantaje o extorsión. Para las organizaciones, especialmente las de industrias muy reguladas, como la atención médica y las finanzas, las consecuencias son mucho más costosas. Las siguientes consecuencias son ejemplos de lo que puede ocurrir:
Interrupción de las operaciones a causa de la pérdida de datos críticos para la empresa
Pérdida de la confianza de los clientes
Secretos comerciales comprometidos, como desarrollos/invenciones de productos, códigos de aplicación únicos o procesos de fabricación.
Sanciones reglamentarias, tasas y otras sanciones estrictas para las organizaciones obligadas por ley a cumplir con estrictos protocolos y precauciones de protección de datos y privacidad cuando tratan con datos sensibles de clientes
Ataques posteriores que son posibles gracias a los datos exfiltrados
Los informes o estudios de costos atribuibles directamente a la exfiltración de datos son difíciles de encontrar, pero los incidentes de exfiltración de datos están aumentando rápidamente. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión: el delincuente cibernético encripta los datos de la víctima y los exfiltra. A continuación, el delincuente cibernético exige un rescate para desbloquear los datos (para que la víctima pueda reanudar las operaciones comerciales) y rescates posteriores para evitar la venta o divulgación de los datos a terceros.
En 2020, los delincuentes cibernéticos exfiltraron cientos de millones de registros de clientes solo de Microsoft y Facebook. En 2022, el grupo de hackers Lapsus$ exfiltró 1 terabyte de datos confidenciales del fabricante de chips Nvidia y filtró el código fuente de la tecnología de aprendizaje profundo de la empresa. Si los hackers siguen el dinero, el dinero de la exfiltración de datos debe ser bueno y mejorar.
Las organizaciones utilizan una combinación de mejores prácticas y soluciones de seguridad para evitar la exfiltración de datos.
Capacitación en seguridad. Dado que el phishing es un vector de ataque tan común en la exfiltración de datos, capacitar a los usuarios para que reconozcan las estafas de phishing puede ayudar a bloquear los intentos de exfiltración de datos por parte de los hackers. Educar a los usuarios sobre las mejores prácticas para el trabajo remoto, la higiene de contraseñas, el uso de dispositivos personales en el trabajo y el manejo, transferencia y almacenamiento de datos de la empresa puede ayudar a las organizaciones a reducir el riesgo de exfiltración de datos.
Gestión de identidad y acceso (IAM). Los sistemas de IAM permiten a las empresas asignar y gestionar una única identidad digital y un único conjunto de privilegios de acceso para cada usuario de la red. Estos sistemas agilizan el acceso para los usuarios autorizados, al tiempo que mantienen alejados a los usuarios no autorizados y a los hackers. La IAM puede combinar las siguientes tecnologías:
Autenticación multifactor que requiere una o más credenciales de inicio de sesión además de un nombre de usuario y una contraseña.
Control de acceso basado en roles (RBAC): proporcionar permisos de acceso basados en el rol del usuario en la organización.
Autenticación adaptativa que requiere que los usuarios se vuelvan a autenticar cuando cambia el contexto (por ejemplo, cambian de dispositivo o intentan acceder a aplicaciones o datos particularmente confidenciales).
Inicio de sesión único (SSO):permite a los usuarios iniciar sesión una vez mediante un único conjunto de credenciales de inicio de sesión y acceder a múltiples servicios on premises o en la nube relacionados durante esa sesión sin volver a iniciar sesión.
Prevención de pérdida de datos (DLP). Las soluciones de DLP monitorean e inspeccionan los datos confidenciales en cualquier estado —en reposo (en almacenamiento), en movimiento (moverse a través de la red) y en uso (en proceso)— en busca de signos de exfiltración, y bloquean la exfiltración en consecuencia. Por ejemplo, la tecnología de DLP puede impedir que los datos se copien a un servicio de almacenamiento en la nube no autorizado o que sean procesados por una aplicación no autorizada (por ejemplo, una aplicación que un usuario descarga desde la web).
Tecnologías de detección y respuesta a amenazas. Una clase creciente de tecnologías de ciberseguridad monitorea y analiza continuamente el tráfico de la red corporativa y la actividad de los usuarios. Estas tecnologías ayudan a los equipos de seguridad sobrecargados a detectar ciberamenazas en tiempo real o casi real y responder con una mínima intervención manual. Estas tecnologías incluyen las siguientes:
Implementadas on premises o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar el cumplimiento normativo.
La caza proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápido.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotaje, fallas de hardware y otros riesgos de pérdida de datos.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restaurar el acceso a los datos.
En su 17ª edición, este informe comparte los insights más recientes sobre el creciente escenario de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.
CISO, equipos de seguridad y líderes empresariales: obtener insights prácticos para comprender cómo atacan los actores de amenazas y cómo proteger proactivamente a su organización.