Exfiltración de datos: cuando los malos no descansan

“Para que todos podamos entenderlo de forma muy simple, la exfiltración o exportación de datos es el robo de datos. Puede producirse de forma tanto involuntaria, debida a un error o un descuido humano, o intencionada, tanto por parte de elementos ajenos a la empresa como por los mismos usuarios. El objetivo que casi siempre está detrás es el de apropiarse de información sensible y privilegiada, aunque tampoco podemos olvidarnos de otras motivaciones, como la venganza por parte de un usuario”, expone Francisco Machuca, director de Canal de Netskope para Iberia, para comenzar este reportaje.

El proceso

Juan Carlos Chamizo, director del Área de Ciberseguridad de ITE admite que este proceso puede llevarse a cabo de dos maneras: en caso de que el ataque sea manualmente, un atacante o insider (persona dentro de la organización) realiza la transferencia de datos de forma deliberada “Suele ser un proceso lento y cuidadoso para evitar la detección”, apostilla este especialista. En caso de que el ataque sea automatizado mediante programa maligno, los atacantes utilizan software malicioso (programa maligno) para extraer datos de manera encubierta. “El programa malicioso puede ser diseñado para copiar archivos, enviar información a servidores remotos o incluso cifrar datos antes de su exfiltración”.

Dada la gravedad de las consecuencias que puede tener una exfiltración de datos, Juan Carlos Chamizo recomienda a las empresas ser conscientes en todo momento de la importancia de prevenirla, puesto que la exfiltración de datos puede interrumpir las operaciones, dañar la confianza del cliente y provocar pérdidas financieras a las empresas. A lo que hay que añadir la necesidad de cumplir las normas establecidas. No en vano, “muchos sectores tienen regulaciones específicas sobre privacidad y protección de datos. La exfiltración de datos puede derivar en sanciones severas y daños de reputación”. Asimismo, es necesario tener muy presente que los datos robados, como información de identificación personal (PII) o secretos comerciales, pueden venderse en el mercado negro o utilizarse para ciberataques.

“Por otro lado, es importante destacar que la fuga de datos, la vulneración de datos y la exfiltración de datos son conceptos relacionados, pero diferentes. La fuga de datos es la exposición accidental de datos confidenciales, mientras que la vulneración de datos implica acceso no autorizado a información sensible. La exfiltración de datos es el acto discreto de robar los datos y requiere una fuga o vulneración previa”, explica de nuevo el director del Área de Ciberseguridad de ITE.

Su naturaleza

Una cosa que hay que dejar muy claro, tal y como dice Francisco Machuca, es que en la mayoría de las situaciones, las empresas no son conscientes del problema hasta mucho tiempo después. Pueden pasar desde minutos, horas, días, semanas o años.

“Por supuesto, las organizaciones disponen de productos y herramientas para saber, cuanto antes, si se ha producido una exfiltración. El análisis forense es una de ellas, pero suele ser muy laborioso y costoso, lo que hace que muchas empresas, sobre todo las de menor tamaño, ni se lo puedan llegar a plantear. Otra solución radical, que suelen adoptar muchas empresas, es la política del permitir/bloquear. Pero muchas corporaciones que usan cada vez más aplicaciones para su día a día, no les vale con el permitir y bloquear, de hecho no pueden bloquear muchas aplicaciones corporativas, deben analizar realmente lo que está pasando en su red, en sus aplicaciones SaaS y en sus comunicaciones, hacerlo en tiempo real y con soluciones que no les suponga una pérdida de calidad de servicio a los usuarios”, apostilla.

Características

Una de las características más destacadas de este tipo de amenaza es su “publicidad”. Es decir, "si se es usuario de la Dark Web, las actividades producto de estos ataques se pueden encontrar en portales de la red oscura, salvo que el ataque esté relacionado con robo de información confidencial para su posterior venta o por encargo, donde el atacante intenta pasar desapercibido”, precisa José de la Cruz, director técnico de Trend Micro Iberia.

José de la Cruz sostiene que dicha publicación suele ser parcial (como puede ser el caso de unos pocos registros) y su objetivo suele ser extorsionar a la víctima a cambio de un rescate o vender dicha información a un posible comprador.

“Es importante tener en cuenta que, los atacantes, pueden pasar semanas dentro de la red de la víctima hasta que son detectados o bien llevar a cabo alguna actividad que les delate. Durante este tiempo, entre una y dos semanas dependiendo de la arquitectura y del volumen de datos”.

Puede leer aquí el reportaje completo.