La exfiltración de datos ocurre cuando un malware o un agente malintencionado realiza una transferencia de datos no autorizada desde una computadora. También se denomina comúnmente extrusión de datos o exportación de datos. La exfiltración de datos también se considera una forma de robo de datos . Desde el año 2000, una serie de intentos de exfiltración de datos dañaron gravemente la confianza de los consumidores, la valoración corporativa y la propiedad intelectual de las empresas y la seguridad nacional de los gobiernos de todo el mundo.
En algunos casos de exfiltración de datos, se puede exfiltrar una gran cantidad de datos agregados. Sin embargo, en estos y otros casos, es probable que ciertos tipos de datos sean el objetivo. Los tipos de datos que se pueden filtrar incluyen:
Los actores maliciosos han utilizado varias técnicas para llevar a cabo la exfiltración de datos. La técnica elegida depende de varios factores. Si el atacante tiene o puede obtener fácilmente acceso físico o remoto privilegiado al servidor que contiene los datos que desea exfiltrar, sus posibilidades de éxito son mucho mejores que en caso contrario. Por ejemplo, sería relativamente fácil para un administrador de sistemas plantar y, a su vez, ejecutar malware que transmita datos a un servidor de comando y control externo sin ser detectado. [1] De manera similar, si uno puede obtener acceso administrativo físico, potencialmente puede robar el servidor que contiene los datos objetivo o, de manera más realista, transferir datos del servidor a un DVD o una unidad flash USB. [3] En muchos casos, los actores maliciosos no pueden obtener acceso físico a los sistemas físicos que contienen los datos objetivo. En estas situaciones, pueden comprometer cuentas de usuario en aplicaciones de acceso remoto utilizando contraseñas predeterminadas del fabricante o débiles. En 2009, después de analizar 200 ataques de exfiltración de datos que tuvieron lugar en 24 países, SpiderLabs descubrió una tasa de éxito del noventa por ciento en comprometer cuentas de usuario en aplicaciones de acceso remoto sin requerir ataques de fuerza bruta. Una vez que un actor malicioso obtiene este nivel de acceso, puede transferir datos de destino a otra parte. [3]
Además, existen formas más sofisticadas de exfiltración de datos. Se pueden utilizar varias técnicas para ocultar la detección por parte de las defensas de la red. Por ejemplo, se puede utilizar Cross Site Scripting (XSS) para explotar vulnerabilidades en aplicaciones web y proporcionar a un actor malintencionado datos confidenciales. También se puede utilizar un canal de sincronización para enviar datos en algunos paquetes a la vez a intervalos específicos de una manera que sea aún más difícil de detectar y prevenir para las defensas de la red. [4]
Se pueden tomar diversas medidas para ayudar a proteger una red contra la exfiltración de datos. Tres categorías principales de medidas preventivas pueden ser las más eficaces:
Un ejemplo de medidas de detección es la implementación de sistemas de detección y prevención de intrusiones y la supervisión periódica de los servicios de red para garantizar que solo se estén ejecutando servicios aceptables conocidos en un momento determinado. [3] Si se están ejecutando servicios de red sospechosos, investigue y tome las medidas adecuadas de inmediato. Las medidas preventivas incluyen la implementación y el mantenimiento de controles de acceso, técnicas de engaño y cifrado de datos en proceso, en tránsito y en reposo. Las medidas de investigación incluyen diversas acciones forenses y operaciones de contrainteligencia. [4]
