Significado de «exfiltración de datos»: definición, detección y guía de prevención

Información clave

La exfiltración de datos se produce ahora en el 93 % de los ataques de ransomware, y los atacantes roban los datos en una media de solo dos días, o en la primera hora en el 20 % de los casos.
MITRE ATT&CK nueve técnicas distintas de exfiltración, con cloud (T1567) creciendo más rápidamente a medida que los atacantes abusan de servicios legítimos como Google Drive y MEGA.
Rclone domina el panorama de las herramientas de exfiltración con un 57 % de los incidentes de ransomware; su detección requiere supervisar la creación de procesos con argumentos de línea de comandos cloud
La detección por capas que combina DLP, NDR, UEBA y EDR es esencial: las organizaciones solo evitaron el 3 % de los intentos de exfiltración en el tercer trimestre de 2025.
Los sectores de la sanidad, la fabricación y los servicios financieros se enfrentan al mayor riesgo de exfiltración, con unos costes medios por incidente que superan los 5 millones de dólares.

La exfiltración de datos se ha convertido en el elemento definitorio de los ciberataques modernos. Según una investigación de BlackFog, el 93 % de los ataques de ransomware en la primera mitad de 2024 implicaron la exfiltración de datos, y los atacantes robaron información confidencial antes de implementar el cifrado. Esto representa un cambio fundamental en la forma de operar de los actores maliciosos, y exige un cambio correspondiente en la forma en que los equipos de seguridad detectan y responden.

La rapidez de estos ataques deja poco margen para el error. El Informe de respuesta a incidentes de 2025 de Unit 42 reveló que el tiempo medio hasta la exfiltración es ahora de solo dos días, y que en casi uno de cada cinco casos los datos se roban en la primera hora tras el compromiso. Para los profesionales de la seguridad, comprender cómo funciona la exfiltración y cómo detenerla nunca ha sido tan importante.

Esta guía ofrece un análisis exhaustivo de la exfiltración de datos: qué es, cómo la ejecutan los atacantes, las herramientas que utilizan y las estrategias de detección y prevención que realmente funcionan en 2025.

El mercado de la exfiltración de datos refleja esta creciente amenaza. Las organizaciones están realizando importantes inversiones en tecnologías de protección contra la exfiltración de datos, y se prevé que el mercado mundial de prevención de pérdida de datos supere los 6000 millones de dólares en 2026. Esta inversión está impulsada por el aumento de las sanciones reglamentarias, el incremento de los costes de las infracciones y el cambio hacia la extorsión basada en la exfiltración, que hace que las estrategias de copia de seguridad tradicionales resulten insuficientes.

¿Qué es la exfiltración de datos?

La exfiltración de datos es la transferencia no autorizada de datos desde la red de una organización a una ubicación externa controlada por un agente malicioso. A diferencia de la exposición accidental de datos, la exfiltración implica un robo deliberado: los atacantes seleccionan, recopilan y extraen información confidencial con fines lucrativos, de espionaje o de extorsión. Según el Centro de Recursos de Seguridad Informática del NIST, la exfiltración se define como «la transferencia no autorizada de información desde un sistema de información».

Esta distinción es importante para los equipos de seguridad. Cuando se produce una filtración de datos, la exfiltración suele ser el método (el cómo), mientras que la filtración en sí misma es el resultado. Comprender esta relación ayuda a las organizaciones a centrar sus esfuerzos de detección en los mecanismos de transferencia que utilizan realmente los atacantes.

La magnitud del problema es considerable. La investigación de BlackFog indica que el 94 % de los ciberataques exitosos en 2024 implicaron la filtración de datos, ya fuera junto con el cifrado o en lugar de este. Los atacantes se han dado cuenta de que los datos robados proporcionan una ventaja que el cifrado por sí solo no puede ofrecer: la amenaza de divulgación pública o venta a la competencia crea una presión que persiste incluso después de que los sistemas se restauren a partir de copias de seguridad.

Los tipos de datos que suelen ser objeto de exfiltración incluyen:

Información de identificación personal (PII): nombres, direcciones, números de la Seguridad Social, permisos de conducir... Estos datos confidenciales alcanzan precios elevados en los mercados de la web oscura.
Información médica protegida (PHI): historiales médicos, información sobre seguros, historiales de tratamientos.
Credenciales: nombres de usuario, contraseñas, claves API, tokens de autenticación.
Propiedad intelectual: código fuente, diseños de productos, datos de investigación, secretos comerciales.
Datos financieros: números de tarjetas de crédito, datos bancarios, registros de transacciones.

Exfiltración de datos frente a violación de datos frente a fuga de datos

Comprender la terminología ayuda a los equipos de seguridad a comunicarse con mayor precisión sobre los incidentes y a centrar adecuadamente los esfuerzos de detección.

Tabla 1: Distinción entre exfiltración, violación y fuga de datos Comparación de la intención, la causa y los ejemplos de cada tipo de incidente de seguridad de datos.

Término	Definición	Intención	Causa típica	Ejemplo
Exfiltración de datos	Transferencia no autorizada de datos a una ubicación externa	Robo deliberado	Actividad de los actores maliciosos	El atacante utiliza Rclone para copiar la base de datos al cloud MEGA.
Violación de datos	Incidente de seguridad en el que se accede a datos sin autorización.	Variable	Puede ser exfiltración, acceso no autorizado o exposición.	El atacante obtiene acceso a la base de datos de clientes y consulta los registros.
Fuga de datos	Exposición involuntaria de datos	Accidental	Configuración incorrecta, error humano	El bucket S3, que se dejó accesible públicamente, expone los archivos de los clientes.

Las amenazas internas pueden pertenecer a cualquiera de estas categorías. Un empleado malintencionado que extrae datos de forma deliberada comete un robo intencionado. Un empleado negligente que envía accidentalmente archivos confidenciales por correo electrónico al destinatario equivocado comete una filtración de datos. Ambos casos suponen un riesgo, pero requieren diferentes enfoques de detección y procedimientos de respuesta.

Cómo funciona la exfiltración de datos

La exfiltración de datos moderna sigue un ciclo de vida de ataque predecible, aunque la velocidad a la que los atacantes avanzan por estas fases se ha acelerado drásticamente. Comprender este ciclo de vida ayuda a los equipos de seguridad a identificar oportunidades de detección en cada etapa.

El ciclo de vida de un ataque de exfiltración:

Acceso inicial: el atacante se abre paso mediante phishing, robo de credenciales o explotación de vulnerabilidades.
Descubrimiento: el atacante mapea el entorno para identificar almacenes de datos de alto valor.
Movimiento lateral: el atacante amplía el acceso para llegar a los sistemas objetivo.
Colección: El atacante prepara los datos para su transferencia, a menudo comprimiéndolos o cifrándolos.
Establecimiento del mando y control: el atacante establece un canal de comunicación para la extracción.
Exfiltración: el atacante transfiere datos a una infraestructura externa.
Limpieza: el atacante elimina las pruebas de su actividad (opcional).

El informe de respuesta a incidentes de la Unidad 42 documenta que el tiempo de permanencia se ha reducido a siete días en 2024, frente a los 13 días de 2023. Más importante aún, Help Net Security informa de que la filtración de datos se produce específicamente en un plazo medio de dos días y, en uno de cada cinco casos, en la primera hora tras el compromiso.

Esta línea temporal comprimida significa que los enfoques de detección tradicionales, que se basan en identificar anomalías durante períodos prolongados, pueden pasar por alto por completo la exfiltración. Los equipos de seguridad necesitan análisis de comportamiento en tiempo real que puedan identificar el robo de datos en curso.

Los atacantes utilizan varios canales para la exfiltración, elegidos en función de los requisitos de sigilo y el volumen de datos:

HTTPS: Tráfico web cifrado que se mezcla con las comunicaciones comerciales legítimas.
Túnel DNS: datos codificados dentro de consultas y respuestas DNS.
Cloud : plataformas legítimas como Google Drive, Dropbox, OneDrive y MEGA.
Canales de comando y control: protocolos personalizados o túneles cifrados.
Correo electrónico: Reglas de adjuntar o reenviar archivos para conjuntos de datos más pequeños.
Medios físicos: memorias USB u otros dispositivos de almacenamiento extraíbles.

Túnel DNS para la exfiltración de datos

El túnel DNS representa uno de los métodos de exfiltración más sigilosos, ya que el tráfico DNS suele ser fiable y rara vez se inspecciona en profundidad. Según el centro de recursos de seguridad DNS de Infoblox, los atacantes codifican los datos robados en las consultas y respuestas DNS, eludiendo los controles de seguridad tradicionales que se centran en el tráfico web o de correo electrónico.

La técnica funciona dividiendo los datos en pequeños fragmentos y codificándolos como consultas de subdominio a un dominio controlado por el atacante. El servidor DNS del atacante recibe estas consultas, extrae los datos y los vuelve a ensamblar. Los registros de respuesta pueden transportar comandos o datos adicionales de vuelta al sistema comprometido.

La detección requiere analizar los patrones de consulta DNS en busca de anomalías:

Volúmenes de consultas inusualmente altos a dominios específicos
Cadenas de subdominios largas que pueden contener datos codificados.
Consultas a dominios recién registrados o sospechosos
Análisis de entropía que revela distribuciones de caracteres no estándar
Consultas que se desvían de la línea base DNS normal de la organización.

El movimiento lateral suele preceder a la exfiltración de DNS, ya que los atacantes se posicionan en sistemas con acceso a almacenes de datos confidenciales. Comprender esta relación ayuda a los equipos de seguridad a correlacionar la actividad de la red a lo largo del ciclo de vida del ataque.

Exfiltración a través de servicios cloud

El abuso de los servicios Cloud se ha convertido en un método de exfiltración preferido porque se mezcla con el tráfico comercial legítimo. Los grupos APT y los operadores de ransomware utilizan cada vez más servicios cloud como Google Drive, Dropbox, OneDrive y MEGA para extraer datos robados.

La campaña Earth Kurma, dirigida a los gobiernos del sudeste asiático, demostró la eficacia de esta técnica, utilizando Dropbox y OneDrive para la exfiltración, al tiempo que mantenía un acceso persistente a través de los rootkits KRNRAT y MORIYA. El tráfico parece legítimo, ya que estos servicios se utilizan ampliamente con fines comerciales.

La infraestructura de comando y control también aprovecha cada vez más cloud , con grupos como Fog ransomware que utilizan Google Sheets para las comunicaciones C2, una técnica que es difícil de distinguir del uso normal de las herramientas de productividad.

La detección requiere:

Integración del agente de seguridad Cloud (CASB) para obtener visibilidad sobre el uso autorizado y no autorizado cloud .
Supervisión de volúmenes o patrones de carga inusuales.
Identificar conexiones a cloud desde sistemas inesperados.
Seguimiento del uso cloud fuera del horario laboral habitual
Correlacionar cloud con anomalías en la autenticación de usuarios

La ingeniería social como facilitadora de la exfiltración

Los ataques de ingeniería social suelen servir como vector de acceso inicial que permite la posterior filtración de datos. Los atacantes manipulan la psicología humana en lugar de las vulnerabilidades técnicas para obtener las credenciales y el acceso necesarios para el robo de datos.

Técnicas comunes de ingeniería social que conducen a la exfiltración:

Phishing : correos electrónicos para recopilar credenciales que proporcionan a los atacantes acceso legítimo a los sistemas de datos. La violación de Snowflake se originó a partir de credenciales robadas mediante malware infostealer malware a través de phishing.
Spear phishing: ataques dirigidos contra personas concretas con acceso a datos confidenciales, a menudo suplantando la identidad de ejecutivos o socios de confianza.
Pretexting: Crear escenarios ficticios para manipular a los empleados con el fin de que proporcionen acceso o transfieran datos directamente.
Compromiso del correo electrónico empresarial (BEC): suplantación de identidad de ejecutivos para autorizar transferencias de datos o solicitudes de acceso.

Los controles de seguridad deben abordar el factor humano junto con las defensas técnicas. La formación en materia de seguridad reduce la susceptibilidad a la ingeniería social, mientras que la autenticación multifactorial limita el impacto del robo de credenciales. Las organizaciones deben implementar procedimientos de verificación para las solicitudes de datos confidenciales y los patrones de acceso inusuales.

Tipos de exfiltración de datos

La exfiltración de datos se puede clasificar según el agente malicioso implicado, el vector utilizado o la técnica empleada. Comprender estas categorías ayuda a las organizaciones a priorizar sus inversiones en detección en función de su panorama específico de amenazas.

Exfiltración de actores maliciosos externos

Los grupos de amenazas persistentes avanzadas de los Estados-nación y las organizaciones ciberdelictivas representan las amenazas externas de exfiltración más sofisticadas.

Grupos APT activos que llevan a cabo la exfiltración de datos en 2024-2025:

Salt Typhoon China): Según un aviso conjunto de la CISA, la NSA y el FBI, Salt Typhoon ampliado sus operaciones a más de 80 países y más de 600 organizaciones, centrándose principalmente en los sectores de las telecomunicaciones y el gobierno para recopilar datos y metadatos de escuchas telefónicas.
APT31 (China): Utiliza cloud , incluido Yandex Cloud C2 y exfiltración de contratistas gubernamentales y objetivos del sector de TI.
Kimsuky (Corea del Norte): Implementación del keylogger KLogEXE y la puerta trasera FPSpy para la exfiltración a largo plazo de credenciales y datos a través de la campaña Sparkling Pisces.
Earth Kurma: Ataca a gobiernos y empresas de telecomunicaciones del sudeste asiático utilizando Dropbox y OneDrive para la exfiltración con los rootkits KRNRAT y MORIYA.
Cl0p/FIN11: Cambio a la exfiltración masiva de datos mediante zero-day en software empresarial, incluida la reciente campaña Oracle EBS.

Los operadores de ransomware han convertido la exfiltración de datos en una práctica habitual. BlackFog informa de que el 96 % de los ataques de ransomware en el tercer trimestre de 2025 implicaron exfiltración, la tasa más alta jamás registrada, con un volumen medio de exfiltración de 527,65 GB por víctima.

Exfiltración de amenazas internas

Las amenazas internas plantean retos únicos en materia de detección, ya que los empleados tienen acceso legítimo a los sistemas y datos.

Los empleados malintencionados roban deliberadamente datos para obtener beneficios personales, ventajas competitivas o sabotear la empresa. El caso de robo interno de Google en 2024 demuestra el impacto potencial: el ingeniero de software Linwei Ding sustrajo 500 archivos confidenciales que contenían más de 10 años de diseños de chips de IA y arquitectura de supercomputación patentados, según el análisis de Syteca sobre las violaciones de seguridad por parte de empleados.

Los empleados negligentes exponen datos de forma involuntaria a través de:

Envío de archivos confidenciales a cuentas de correo electrónico personales
Carga de datos en cloud no autorizado
Configuración incorrecta de los sistemas para exponer datos públicamente
Caer en phishing que permiten el acceso externo

La detección requiere análisis de comportamiento que establezcan patrones de referencia e identifiquen desviaciones, como un empleado que de repente accede a grandes volúmenes de archivos que nunca antes había tocado o que copia datos a unidades USB cuando normalmente no lo hace.

Tabla 2: Tipos de exfiltración de datos por vector y actor Categorización de los métodos de exfiltración que muestran el vector, el actor típico de la amenaza y el enfoque de detección.

Tipo	Vector	Actor típico	Ejemplo de técnica	Enfoque de detección
Externo basado en red	HTTPS, DNS	APT, ransomware	Carga cifrada al cloud	Análisis de comportamiento NDR
Externo Cloud	Plataformas SaaS	APT, ransomware	Rclone a MEGA	CASB, supervisión de cloud
Externo basado en correo electrónico	SMTP	Ransomware, información privilegiada	Reglas de reenvío automático	Seguridad del correo electrónico, DLP
Medios físicos	memorias USB	Persona malintencionada con información privilegiada	Copia directa de archivos	DLP para puntos finales, control de dispositivos
Persona malintencionada con información privilegiada	Múltiple	Informante	Descarga masiva a dispositivo personal	UEBA, supervisión de accesos
Informe privilegiado negligente	Correo electrónico, cloud	Informante	Compartir accidentalmente	Inspección de contenido DLP

Técnicas de MITRE ATT&CK

MITRE ATT&CK proporciona un enfoque estructurado para comprender y detectar la exfiltración. La táctica de exfiltración (TA0010) incluye nueve técnicas y ocho subtécnicas que los equipos de seguridad deben supervisar.

Según el análisis de Fidelis Security de los datos de Coveware, la exfiltración apareció en el 87 % de los casos observados en el cuarto trimestre de 2024, ocupando el primer lugar. MITRE ATT&CK , por delante de Command and Control», «Evasión de la defensa» y «Ejecución».

Tabla 3: Matriz de técnicas de MITRE ATT&CK Técnicas clave de exfiltración con ID, subtécnicas y recomendaciones de detección

Técnica ID	Nombre de la técnica	Subtécnicas	Descripción	Enfoque de detección
T1041	Exfiltración a través del canal C2	Ninguno	Datos codificados en comunicaciones C2 existentes.	Volúmenes de datos inusuales en el tráfico C2, análisis de patrones de cifrado.
T1048	Exfiltración a través de un protocolo alternativo	T1048.001 (Cifrado simétrico), T1048.002 (Cifrado asimétrico), T1048.003 (Sin cifrar)	Uso de los protocolos FTP, SMTP, DNS o SMB.	Anomalías en el protocolo, análisis de patrones de consultas DNS, inspección de contenidos.
T1567	Exfiltración a través del servicio web	T1567.001 (Repositorio de código), T1567.002 (Cloud ), T1567.003 (Exfiltración a almacenamiento de texto), T1567.004 (Exfiltración a través de webhook)	Cloud , repositorios de código, webhooks	Supervisión de Cloud , integración CASB, volúmenes de carga inusuales.
T1052	Exfiltración a través de un medio físico	T1052.001 (USB)	Unidades USB o almacenamiento extraíble	DLP para puntos finales, políticas de control de dispositivos
T1020	Exfiltración automatizada	T1020.001 (Duplicación del tráfico)	Recopilación y transferencia de datos programada o automatizada	Supervisión de procesos, análisis de comportamiento, tareas programadas inusuales.
T1030	Límites de tamaño de transferencia de datos	Ninguno	Dividir los datos en fragmentos de tamaño fijo	Alerta de umbral, análisis de patrones de conexión
T1029	Transferencia programada	Ninguno	Sincronización de las transferencias para integrarse con el tráfico normal	Supervisión de la actividad fuera del horario laboral, desviación de la línea de base.
T1011	Exfiltración a través de otro medio de red	T1011.001 (Bluetooth)	WiFi, celular, Bluetooth, canales RF	Supervisión de la red de terminales, detección de protocolos no autorizados
T1537	Transferir datos a Cloud	Ninguno	Traslado de datos a cloud controlada por el adversario	Supervisión del acceso Cloud , cloud inusual cloud

Recomendaciones de detección por técnica

Para los equipos de detección y búsqueda de amenazas, las siguientes estrategias de detección se ajustan a técnicas MITRE específicas:

T1041 - Exfiltración a través del canal C2:

Volúmenes y patrones normales de comunicación C2 de referencia
Alerta sobre desviaciones significativas en el tamaño o la frecuencia de la transferencia de datos.
Supervisar los patrones de cifrado que difieren de los perfiles C2 establecidos.

T1048 - Exfiltración a través de un protocolo alternativo:

Analizar los volúmenes de consultas DNS y la entropía para detectar indicadores de túneles.
Inspeccionar el tráfico FTP y SMTP en busca de patrones de datos confidenciales.
Supervisar el uso de protocolos en sistemas que normalmente no los utilizan.

T1567 - Exfiltración a través del servicio web:

Integre CASB para obtener visibilidad de cloud autorizadas y no autorizadas.
Realizar un seguimiento de las llamadas a la API cloud para detectar volúmenes o patrones de acceso inusuales.
Correlacionar cloud con la autenticación de usuarios y las bases de referencia de comportamiento.

T1052 - Exfiltración a través de un medio físico:

Implementar DLP en los puntos finales con supervisión USB.
Aplicar políticas de control de dispositivos para medios extraíbles
Alerta sobre patrones de acceso a archivos seguidos de conexiones de dispositivos USB

Herramientas de exfiltración utilizadas por los actores maliciosos

Comprender las herramientas específicas que utilizan los atacantes permite crear reglas de detección y consultas de búsqueda de amenazas más eficaces. El panorama de las herramientas de exfiltración está dominado por utilidades legítimas que los atacantes reutilizan, una técnica que les ayuda a evadir la detección al mezclarse con las operaciones comerciales normales.

Según el análisis de ReliaQuest sobre las herramientas de exfiltración, Rclone se utilizó en el 57 % de los incidentes de ransomware entre septiembre de 2023 y julio de 2024, lo que la convierte en la herramienta de exfiltración dominante en el panorama actual de amenazas.

Rclone y herramientas cloud

Rclone es un programa de código abierto de línea de comandos diseñado para sincronizar archivos con servicios cloud . Es compatible con más de 40 cloud , entre los que se incluyen Google Drive, Amazon S3, Dropbox y MEGA, los mismos servicios que prefieren los atacantes para recibir los datos robados.

¿Por qué los atacantes prefieren Rclone?

Transferencias rápidas y fiables de archivos de gran tamaño
Soporte nativo para cifrado
Se integra con servicios preferidos por los atacantes, como MEGA.
El funcionamiento mediante línea de comandos permite la creación de scripts y la automatización.
Código abierto y ampliamente disponible

Indicadores de detección para Rclone:

Creación de procesos para rclone.exe o rclone
Argumentos de línea de comandos que contienen mega, gdrive, s3, u otros nombres cloud
Argumentos que contienen --no-comprobar-certificado (comúnmente utilizado para eludir la inspección SSL)
Argumentos que contienen copia, sincronizar, o mover con destinos externos
Transferencias de datos de gran tamaño tras la ejecución del proceso Rclone

Las soluciones de detección y respuesta en los puntos finales deben incluir una lógica de detección específica para los patrones de la línea de comandos de Rclone.

WinSCP, cURL y herramientas legítimas de transferencia de archivos

Más allá de Rclone, los atacantes aprovechan una serie de utilidades legítimas de transferencia de archivos:

WinSCP: un cliente SFTP y FTP de Windows ampliamente utilizado en entornos empresariales. Al tratarse de una herramienta de confianza, es posible que las sesiones de WinSCP con hosts externos no activen alertas en entornos que no hayan configurado específicamente la detección.

cURL: nativo de Windows 10 y versiones posteriores, cURL no requiere implementación, por lo que los atacantes pueden utilizarlo inmediatamente en cualquier sistema Windows moderno. Este enfoque de«vivir de la tierra» evita dejar ejecutables adicionales que podrían activar malware .

Azure Storage Explorer y AzCopy: BleepingComputer informa de que grupos de ransomware como BianLian y Rhysida utilizan cada vez más las herramientas de Azure para la exfiltración, aprovechando la velocidad del almacenamiento Azure Blob y la legitimidad de la infraestructura de Microsoft.

Software RMM: Las herramientas de supervisión y gestión remotas como AnyDesk, Splashtop y Atera proporcionan capacidades de comando y control, así como funcionalidad de transferencia de datos. El ransomware Fog utiliza notablemente una combinación de estas herramientas junto con Google Sheets para C2.

Tabla 4: Comparación de herramientas de exfiltración y métodos de detección Prevalencia de las herramientas basada en datos de incidentes con enfoques de detección específicos

Herramienta	Prevalencia	Uso principal	Método de detección
Rclone	El 57 % de los incidentes de ransomware	Sincronización Cloud	Creación de procesos, argumentos CLI con nombres cloud
WinSCP	Común	Transferencias SFTP/FTP	Conexiones externas inusuales al host, correlación de acceso a archivos
cURL	Creciente (nativo de Windows 10+)	Vivir de la tierra	curl.exe con destinos externos, solicitudes POST de gran tamaño
Explorador de almacenamiento de Azure/AzCopy	En aumento	Exfiltración de Azure Blob	Conexiones Azure Blob, actividad inusual cloud
MEGAsync	Común	cloud MEGA	Consultas DNS de MEGA.io, instalación del cliente MEGAsync
FileZilla	Ocasional	Transferencias FTP	Conexiones FTP a hosts externos
Herramientas RMM (AnyDesk, Splashtop)	Creciendo	C2 y exfiltración	Instalación inesperada de RMM, actividad inusual en la sesión

Exfiltración de datos en la práctica

Los casos prácticos reales ilustran cómo se desarrollan los ataques de exfiltración y las lecciones que las organizaciones pueden aprender de ellos. Las repercusiones financieras y operativas documentadas en los incidentes de 2024-2025 demuestran por qué la exfiltración se ha convertido en la principal preocupación de los equipos de seguridad.

Según el informe «IBM Cost of a Data Breach Report 2024», el coste medio de la extorsión por filtración de datos alcanzó los 5,21 millones de dólares por incidente, superando el coste medio global de las violaciones de seguridad, que es de 4,88 millones de dólares. Esta prima refleja la ventaja adicional que obtienen los atacantes gracias a los datos robados y las medidas correctivas adicionales que se requieren cuando la información confidencial sale del control de la organización. Las organizaciones dedicadas a la ciberseguridad sanitaria y los servicios financieros se enfrentan a los costes más elevados debido a las sanciones reglamentarias y a la sensibilidad de los datos protegidos.

Estudios de casos 2024-2025

Violación de datos de Snowflake (2024)

La filtración de Snowflake demostró cómo el compromiso de las credenciales de un proveedor de tecnología puede afectar a cientos de organizaciones clientes. Según el análisis deCloud Alliance:

Método de ataque: El actor malicioso UNC5537 explotó las cuentas de clientes de Snowflake que carecían de autenticación multifactorial, utilizando credenciales obtenidas mediante malware infostealer.
Impacto: miles de millones de registros de llamadas filtrados de AT&T, datos personales robados de Ticketmaster y Santander Bank, además de datos de aproximadamente 165 organizaciones adicionales.
Causa raíz: Compromiso de credenciales combinado con la ausencia de MFA en cuentas controladas por el cliente.
Lección: La autenticación multifactorial (MFA) no es opcional para cloud . La gestión de credenciales de terceros afecta directamente a la seguridad de los datos de los clientes. Las organizaciones deben verificar que cloud apliquen o habiliten una autenticación sólida.

Ataque a Change Healthcare (2024)

El ataque a Change Healthcare se convirtió en una de las mayores violaciones de datos sanitarios de la historia, lo que demuestra el impacto amplificado de la exfiltración en sistemas interconectados. Documentos de análisis de ERM Protect:

Método de ataque: los operadores del ransomware BlackCat (ALPHV) sustrajeron datos confidenciales sobre atención sanitaria antes de implementar el cifrado.
Impacto: 192,7 millones de personas afectadas, costes de respuesta estimados en 2870 millones de dólares, interrupción generalizada del sistema sanitario.
Causa principal: Acceso inicial a través de phishing o compromiso de credenciales, seguido de un movimiento lateral hacia sistemas ricos en datos.
Lección: Los datos sanitarios representan un objetivo principal para la doble extorsión. La naturaleza interconectada de los sistemas sanitarios amplifica el impacto de cualquier violación de seguridad. Las organizaciones del sector sanitario deben dar prioridad tanto a la prevención como a la detección de la filtración de datos.

Ataque a Ingram Micro SafePay (2025)

El ataque a Ingram Micro ilustra cómo el compromiso de las credenciales VPN permite el robo masivo de datos:

Método de ataque: el grupo de ransomware SafePay accedió a los sistemas a través de credenciales VPN comprometidas y, a continuación, utilizó movimientos laterales y PowerShell para el descubrimiento antes de exfiltrar a través de HTTPS cifrado.
Impacto: más de 3,5 TB de datos filtrados, incluidos datos financieros, legales y de propiedad intelectual. Las pérdidas diarias de ingresos se estiman en 136 millones de dólares durante el incidente.
Causa raíz: Compromiso de las credenciales VPN sin aplicación de MFA.
Lección: La seguridad de las VPN requiere el mismo rigor que cualquier otro mecanismo de acceso remoto. La exfiltración HTTPS cifrada elude la inspección tradicional, por lo que se requiere un análisis del comportamiento para su detección.

Patrones de exfiltración específicos del sector

Según el informe Kroll Data Breach Outlook 2025 y una investigación de IBM, ciertos sectores se enfrentan a un elevado riesgo de filtración de datos:

Tabla 5: Comparación del impacto de la filtración de datos en la industria Métricas clave que muestran la prevalencia de las infracciones, los costes y los tipos de datos objetivo por sector

Industria	Porcentaje de infracciones	Coste medio	Objetivos de datos primarios	Incidentes destacados de 2024-2025
Sanidad	23%	9,8 millones de dólares	PHI, datos de seguros, registros de tratamientos	Change Healthcare (respuesta de 2870 millones de dólares)
Fabricación	El 26 % de los ciberataques	Rescate medio de 1 millón de dólares	Propiedad intelectual, diseños de productos, datos de procesos	377 ataques confirmados en el primer semestre de 2024
Servicios financieros	~22%	5,9 millones de dólares	Datos de la cuenta, información de identificación personal, registros de transacciones	Violación de Marquis (788 000 clientes, 74 bancos)
Tecnología	Significativo	Variable	Código fuente, datos de clientes, credenciales	Ingram Micro (3,5 TB)
Gobierno/Telecomunicaciones	Objetivo creciente	Variable	Datos de escuchas telefónicas, metadatos, información clasificada	Salt Typhoon más de 600 organizaciones)

La industria manufacturera ha sido el sector más afectado durante cuatro años consecutivos, con un 51 % de las empresas manufactureras pagando rescates por un valor medio de un millón de dólares. La dependencia de este sector de la tecnología operativa y la propiedad intelectual lo hace especialmente vulnerable a los ataques basados en la extorsión.

Detección de la filtración de datos

Una detección eficaz requiere un enfoque por capas que combine múltiples tecnologías. No existe una solución única que detecte todos los intentos de exfiltración, ya que los atacantes utilizan deliberadamente herramientas legítimas y canales cifrados para evadir la detección.

El informe Blue Report 2025 publicado por BleepingComputer reveló que las organizaciones solo evitaron el 3 % de los intentos de exfiltración en el tercer trimestre de 2025, la tasa de prevención más baja jamás registrada. Esta estadística subraya la importancia fundamental de invertir en detección.

Prevención de pérdida de datos (DLP)

Las soluciones DLP proporcionan inspección basada en el contenido y aplicación de políticas para el movimiento de datos:

Capacidades:

Inspección de contenido en busca de patrones de datos confidenciales (números de la seguridad social, números de tarjetas de crédito, información de identificación personal).
Aplicación de políticas para transferencias de datos a través de USB, correo electrónico, cloud y red.
Clasificación y etiquetado de contenido sensible
Supervisión y alertas de la actividad de los usuarios

Limitaciones:

No se puede inspeccionar el tráfico cifrado sin interceptación SSL/TLS.
Puede pasar por alto la exfiltración a través de herramientas legítimas con una justificación comercial válida.
Requiere un mantenimiento y ajuste continuos de las políticas.
La detección basada en archivos tiene dificultades con el copiado y pegado en herramientas de IA.

Detección y respuesta de red (NDR)

Las soluciones de detección y respuesta de red utilizan análisis de comportamiento para detectar amenazas mediante el análisis del tráfico de red. Según la descripción general de NDR de IBM, NDR ofrece varias ventajas para la detección de exfiltración:

Capacidades:

Análisis del comportamiento en los patrones de tráfico de red
Análisis del tráfico cifrado sin descifrado: detección de anomalías basadas en metadatos, sincronización y volumen.
Detección de anomalías con respecto al tráfico de referencia establecido.
Inspección profunda de paquetes para firmas de amenazas conocidas
Detección de movimientos laterales como precursor de la exfiltración

Puntos fuertes para la detección de exfiltración:

Visibilidad en canales cifrados que DLP no puede inspeccionar
Detección de técnicas de evasión de controles de punto final que aprovechan el entorno.
Correlación entre el comportamiento de la red y la inteligencia sobre amenazas

Análisis del comportamiento de usuarios y entidades (UEBA)

UEBA establece puntos de referencia del comportamiento normal de los usuarios e identifica desviaciones que pueden indicar un compromiso o una amenaza interna:

Capacidades de detección:

Acceso fuera del horario laboral a sistemas sensibles
Volúmenes o patrones inusuales de acceso a los datos.
Acceso a archivos o sistemas fuera de la función habitual
Cambios de comportamiento que preceden a la renuncia o el despido
Indicadores de uso compartido de cuentas o abuso de credenciales

Detección y respuesta en los puntos finales (EDR)

La detección y respuesta en los puntos finales proporciona visibilidad de la actividad a nivel del host, lo cual es fundamental para detectar el uso de herramientas de exfiltración:

Capacidades de detección:

Supervisión de procesos para herramientas de exfiltración (Rclone, WinSCP, cURL)
Registro de acceso a archivos y transferencias
Análisis de argumentos de línea de comandos
Detección de técnicas de subsistencia
Actividad de USB y medios extraíbles

Indicadores clave de exfiltración de datos

Reconocer los indicadores de exfiltración de datos de forma temprana permite una respuesta más rápida y reduce la pérdida de datos. Los equipos de seguridad deben estar atentos a estas señales de alerta:

Indicadores basados en la red:

Volúmenes inusuales de datos salientes, especialmente fuera del horario laboral.
Conexiones a dominios recién registrados o rangos de IP sospechosos
Anomalías en las consultas DNS, incluyendo grandes volúmenes a dominios únicos o cadenas de subdominios codificadas.
Grandes transferencias cifradas a servicios cloud
Anomalías de protocolo, como tráfico HTTP/HTTPS en puertos no estándar.

Un análisis eficaz del tráfico de red es esencial para identificar estos patrones antes de que los datos salgan de la organización.

Indicadores basados en puntos finales:

Ejecución de herramientas de exfiltración conocidas (Rclone, WinSCP, cURL con destinos externos)
Actividad de compresión o cifrado de archivos previa a las transferencias de red.
Patrones de acceso a archivos masivos incompatibles con el rol del usuario
Conexiones de dispositivos USB seguidas de operaciones con archivos de gran tamaño
Tareas programadas o scripts que realizan la recopilación automatizada de datos.

Indicadores de comportamiento del usuario:

Acceso a archivos confidenciales fuera de los patrones de trabajo normales
Descargar o copiar volúmenes inusuales de datos.
Acceso a sistemas o datos fuera de las funciones habituales del puesto de trabajo.
Múltiples intentos fallidos de autenticación seguidos de un acceso correcto.
Reglas de reenvío de correo electrónico a direcciones externas

Supervisión continua de la filtración de datos

Una protección eficaz contra la filtración de datos requiere una supervisión continua en cloud de red, terminales y cloud . Las evaluaciones puntuales pasan por alto los indicadores en tiempo real que señalan el robo activo de datos.

Prioridades de supervisión:

Análisis del tráfico de red en tiempo real para detectar anomalías en el volumen y los patrones.
Supervisión continua de cloud para detectar accesos no autorizados a los datos.
Recopilación y análisis de telemetría de terminales las 24 horas del día, los 7 días de la semana.
Correlación automatizada de indicadores entre fuentes de datos
Integración con inteligencia sobre amenazas para infraestructuras de exfiltración conocidas.

Las organizaciones deben establecer comportamientos de referencia para los usuarios, los dispositivos y el tráfico de red. Las desviaciones de estos comportamientos de referencia activan alertas para su investigación, lo que permite detectar exfiltraciones sofisticadas que eluden los controles basados en firmas.

Tabla 6: Comparación de tecnologías de detección de exfiltración Capacidades, fortalezas y limitaciones de cada método de detección

Tecnología	Qué detecta	Puntos fuertes	Limitaciones
DLP	Patrones de datos sensibles, infracciones de políticas	Aplicación de políticas basada en el contenido	No puede inspeccionar el tráfico cifrado, tiene dificultades con el copiar/pegar.
NDR	Anomalías en la red, patrones de tráfico cifrado	Análisis del tráfico cifrado, correlación de comportamientos	Requiere el establecimiento de una línea de base, puede generar falsos positivos.
UEBA	Anomalías en el comportamiento de los usuarios, amenazas internas	Conciente del contexto, aprende patrones normales.	Requiere un período de formación, puede pasar por alto técnicas novedosas.
EDR	Actividad del proceso, acceso a archivos, argumentos de la línea de comandos	Visibilidad del host, detección de herramientas	Brechas en la cobertura de los agentes, desafíos de vivir de la tierra

Lista de verificación para una detección eficaz:

Supervisar la creación de procesos de herramientas de exfiltración (Rclone, WinSCP, cURL, herramientas de Azure).
Analizar los argumentos de la línea de comandos para las referencias cloud .
Patrones normales de consulta DNS de referencia y alerta sobre indicadores de túneles
Realizar un seguimiento de las transferencias de datos salientes de gran tamaño, especialmente las cifradas.
Supervisar los volúmenes y patrones de acceso cloud
Correlacionar el acceso a los archivos con la actividad de la red.
Alerta sobre acceso y transferencias de datos fuera del horario laboral
Identificar conexiones con dominios recién registrados

Prevención de la filtración de datos

La prevención requiere una defensa en profundidad: ningún control por sí solo puede detener todos los intentos de exfiltración. Las estrategias más eficaces combinan controles técnicos con factores humanos y asumen que algunos atacantes eludirán las defensas perimetrales.

Controles técnicos de prevención

Arquitectura de confianza cero: Zero trust proporciona el marco fundamental para la prevención de la exfiltración. Los principios clave incluyen:

Nunca confíes, verifica siempre: autenticación y autorización continuas.
Acceso con privilegios mínimos: los usuarios y los sistemas solo obtienen el acceso que necesitan.
Asumir una brecha: diseñar defensas para el escenario en el que los atacantes ya están dentro.
Microsegmentación: limitar las oportunidades de movimiento lateral.

Segmentación de la red: una segmentación adecuada limita los datos a los que pueden acceder los atacantes, incluso después de un compromiso inicial:

Separar los almacenes de datos confidenciales de las redes de acceso general.
Implementar reglas de firewall entre segmentos.
Requerir una nueva autenticación para el acceso entre segmentos.
Supervisar el tráfico entre segmentos en busca de anomalías.

Filtrado de salida: controle qué datos pueden salir de la red:

Implementar listas de permitidos para destinos externos aprobados.
Supervisar y registrar todas las conexiones salientes.
Bloquear dominios conocidos asociados a la exfiltración.
Requerir autenticación de proxy para acceder cloud

Supervisión de DNS: Detecta y previene la exfiltración basada en DNS:

Analizar patrones de consulta para indicadores de túneles.
Bloquear consultas a dominios maliciosos conocidos.
Monitor para DNS sobre HTTPS que elude los controles tradicionales
Alerta sobre volúmenes inusuales de consultas a dominios específicos

Autenticación multifactorial: la autenticación multifactorial en todos los sistemas reduce el riesgo de compromiso basado en credenciales:

Aplicar la autenticación multifactorial (MFA) para todos los accesos remotos y conexiones VPN.
Exigir MFA para acceder a cloud
Implementar MFA phishing(FIDO2/WebAuthn) siempre que sea posible.
Amplíe la autenticación multifactor (MFA) a las cuentas de servicio y al acceso privilegiado.

Implementación de CASB: los agentes de seguridad Cloud proporcionan visibilidad y control:

Identificar el uso sancionado y no sancionado de cloud .
Aplicar políticas para la carga de datos en cloud
Supervisar patrones inusuales de cloud
Integración con proveedores de identidad para controles sensibles al contexto.

Soluciones para la prevención de la filtración de datos

Las organizaciones deben implementar soluciones de prevención de exfiltración de datos por capas que aborden diferentes vectores de ataque:

Soluciones de capa de red:

Detección y respuesta de red (NDR) para análisis de comportamiento y análisis de tráfico cifrado.
Firewalls de última generación con reconocimiento de aplicaciones e inspección SSL.
Soluciones de seguridad DNS para la detección de túneles y el bloqueo de dominios maliciosos.
Segmentación de la red para limitar el movimiento lateral y el acceso a los datos.

Soluciones de capa de punto final:

Agentes de prevención de pérdida de datos (DLP) para la inspección de contenidos y la aplicación de políticas.
Detección y respuesta en los puntos finales (EDR) para la supervisión de procesos y archivos
Políticas de control de dispositivos para USB y medios extraíbles
Lista de aplicaciones permitidas para evitar la ejecución no autorizada de herramientas

Soluciones Cloud:

Agentes de seguridad Cloud (CASB) para la visibilidad de la TI en la sombra y la aplicación de políticas
Gestión de Cloud (CSPM) para la detección de configuraciones incorrectas
Gestión de identidades y accesos (IAM) con políticas de acceso condicional
DLP Cloud integrado con aplicaciones SaaS

Soluciones de capa de identidad:

Autenticación multifactorial en todos los sistemas y cloud
Gestión de acceso privilegiado (PAM) para el acceso a sistemas sensibles
Análisis del comportamiento de usuarios y entidades (UEBA) para la detección de anomalías
Detección y respuesta ante amenazas a la identidad (ITDR) por compromiso de credenciales

El enfoque más eficaz combina soluciones en todas las capas, con una integración que permite la correlación de indicadores y una respuesta coordinada.

Manual de respuesta ante incidentes de exfiltración de datos

Cuando se detecta o se sospecha una filtración de datos, las organizaciones deben seguir un manual estructurado de respuesta a incidentes:

Fase 1: Detección y evaluación inicial (0-4 horas)

Validar la alerta a través de múltiples fuentes de datos (red, punto final, cloud).
Identificar los sistemas, usuarios y tipos de datos afectados.
Determinar el alcance de la filtración: a qué datos se accedió y cuáles pudieron transferirse.
Conservar las pruebas forenses, incluidos los registros, las capturas de red y las instantáneas de los puntos finales.

Fase 2: Contención (4-24 horas) 5. Aislar los sistemas afectados manteniendo la integridad forense. 6. Revocar las credenciales y sesiones comprometidas. 7. Bloquear los canales de exfiltración identificados (direcciones IP, dominios, cloud ). 8. Implementar controles de acceso de emergencia para los almacenes de datos confidenciales.

Fase 3: Investigación y erradicación (24-72 horas) 9. Realizar un análisis forense exhaustivo para determinar la cronología del ataque. 10. Identificar el vector de acceso inicial y los mecanismos de persistencia. 11. Mapear todos los sistemas a los que ha accedido el agente malicioso. 12. Eliminar el acceso del atacante y cualquier herramienta o puerta trasera desplegada.

Fase 4: Notificación y recuperación (según sea necesario) 13. Evaluar los requisitos normativos de notificación (RGPD 72 horas, HIPAA 60 días, NIS2 24 horas) 14. Preparar el contenido de la notificación para los reguladores, las personas afectadas y las partes interesadas 15. Restaurar los sistemas a partir de copias de seguridad válidas cuando sea necesario 16. Implementar controles adicionales para evitar que se repita

Fase 5: Actividades posteriores al incidente 17. Realizar una revisión de las lecciones aprendidas en un plazo de 30 días. 18. Actualizar las reglas de detección basándose en las técnicas observadas. 19. Mejorar los controles preventivos para abordar las deficiencias identificadas. 20. Documentar el incidente para fines de cumplimiento y referencia futura.

Las organizaciones deben ensayar este manual mediante ejercicios de simulación y actualizarlo en función de la evolución de las amenazas y los requisitos normativos.

Requisitos normativos y de cumplimiento

Los incidentes de exfiltración de datos activan requisitos de notificación en virtud de múltiples marcos normativos. Comprender estos plazos es esencial para la planificación de la respuesta ante incidentes y el cumplimiento normativo.

Tabla 7: Requisitos normativos de notificación para incidentes de exfiltración de datos Normativas clave con plazos de notificación, sanciones y ámbito de aplicación

Regulación	Cronología de notificaciones	Sanción máxima	Alcance
GDPR	72 horas a la autoridad supervisora	20 millones de euros o el 4 % de los ingresos anuales globales.	Datos personales de los residentes de la UE
HIPAA	60 días para el HHS (más de 500 personas: inmediato)	137-68 928 dólares estadounidenses por infracción (escalonado)	Información médica protegida
NIS2	Alerta temprana de 24 horas, informe completo de 72 horas.	10 millones de euros o el 2 % de los ingresos globales.	Operadores de infraestructuras críticas

Según la guía de notificación de infracciones del RGPD de Cynet, el plazo de notificación de 72 horas comienza cuando la organización tiene conocimiento de la infracción, por lo que es esencial una detección e investigación rápidas.

Los requisitos de notificación de infracciones de la HIPAA del HHS especifican sanciones escalonadas en función de la culpabilidad, desde 137 dólares por infracción en caso de infracciones involuntarias hasta 68 928 dólares en caso de negligencia deliberada que no se corrija.

La Directiva NIS2 introduce la responsabilidad ejecutiva, haciendo que la dirección sea personalmente responsable de los fallos en materia de ciberseguridad. Esto aumenta la importancia de los controles de seguridad documentados y los procedimientos de respuesta a incidentes.

Lista de verificación para la prevención:

Implemente una arquitectura de confianza cero con verificación continua.
Implementar la segmentación de la red para limitar el acceso a los datos.
Aplicar la autenticación multifactorial (MFA) en todos los sistemas y cloud
Configurar el filtrado de salida y supervisar las conexiones salientes.
Implementar CASB para obtener visibilidad de cloud
Supervisar el DNS en busca de indicadores de túneles
Establecer y aplicar políticas de clasificación de datos.
Realizar cursos periódicos de formación en materia de seguridad.

Enfoques modernos para la defensa contra la exfiltración

El panorama de amenazas de exfiltración sigue evolucionando, lo que obliga a los equipos de seguridad a adaptar sus capacidades de detección y respuesta. Los enfoques tradicionales basados en firmas tienen dificultades para hacer frente a los atacantes que utilizan herramientas legítimas y canales cifrados.

Análisis de comportamiento basado en inteligencia artificial

La defensa moderna contra la exfiltración se basa en gran medida en la inteligencia artificial y el aprendizaje automático para detectar técnicas sofisticadas de robo de datos:

Establecimiento de patrones de comportamiento: Establecimiento de patrones normales para usuarios, dispositivos y redes con el fin de identificar anomalías.
Análisis del tráfico cifrado: detección de amenazas mediante el análisis de metadatos sin necesidad de descifrado.
Correlación entre las etapas del ataque: conexión entre las actividades de reconocimiento, movimiento lateral y exfiltración.
Priorización: Distinguir los comportamientos de exfiltración de alto riesgo de las anomalías rutinarias.

The Hacker News informa de que las herramientas de IA se han convertido en el principal canal de exfiltración de datos, con un 67 % de las sesiones de IA realizadas a través de cuentas personales que eluden los controles empresariales. Esto plantea nuevos retos de detección que requieren supervisar las acciones de pegado y carga en los servicios de IA, algo que los DLP tradicionales tienen dificultades para abordar.

Cómo Vectra AI la exfiltración de datos

Vectra AI la exfiltración de datos a través de Attack Signal Intelligence, que utiliza análisis de comportamiento impulsados por IA para detectar técnicas sofisticadas de filtración en entornos de red, cloud e identidad. En lugar de basarse únicamente en la detección basada en firmas, el enfoque se centra en identificar los patrones de comportamiento que indican la preparación de datos y las transferencias no autorizadas, independientemente de si los atacantes utilizan canales cifrados, herramientas legítimas como Rclone o cloud para la filtración.

Esta metodología se alinea con el MITRE ATT&CK para proporcionar a los equipos de seguridad visibilidad a nivel técnico de los intentos de exfiltración. Mediante el análisis de patrones de metadatos, comportamientos de conexión y movimiento de datos en entornos híbridos, es posible detectar amenazas incluso cuando los atacantes utilizan herramientas legítimas y canales cifrados diseñados para evadir los controles tradicionales.

El enfoque en el comportamiento del atacante, en lugar de en indicadores estáticos, permite detectar técnicas novedosas sin tener que esperar a que se actualicen las firmas. A medida que evolucionan las amenazas de seguridad relacionadas con la IA, este enfoque basado en el comportamiento cobra cada vez más importancia.

Tendencias futuras y consideraciones emergentes

El panorama de amenazas de exfiltración de datos sigue evolucionando rápidamente, con varios avances clave que los equipos de seguridad deben anticipar en los próximos 12 a 24 meses.

La IA como vector de amenazas y herramienta de detección: las herramientas de IA representan el canal de exfiltración de más rápido crecimiento. Las organizaciones deben implementar una supervisión específica para la IA que aborde las acciones de copiar/pegar en los servicios de IA generativa, ya que los DLP tradicionales basados en archivos no pueden detectar esta actividad. Al mismo tiempo, la detección basada en IA será esencial para identificar técnicas sofisticadas de exfiltración en tiempo real.

Exfiltración pura frente al cifrado: Se acelerará el cambio del ransomware con cifrado a la extorsión basada exclusivamente en la exfiltración. Grupos como Cl0p y World Leaks han demostrado que los datos robados proporcionan suficiente influencia sin la complejidad operativa del cifrado. Los equipos de seguridad deben dar prioridad a la detección del robo de datos en lugar de centrarse únicamente en los indicadores de cifrado del ransomware.

Evolución normativa: El paquete digital ómnibus de la UE propone ampliar los plazos de notificación del RGPD de 72 a 96 horas y crear un punto único de entrada para la presentación de informes normativos cruzados. Las organizaciones deben prepararse para los requisitos de cumplimiento en constante evolución, al tiempo que mantienen las capacidades de notificación actuales.

Aumento de la exfiltraciónCloud: a medida que las organizaciones trasladan más cargas de trabajo a cloud , los atacantes aprovecharán cada vez más las herramientas y los servicios cloud para la exfiltración. La detección requiere una profunda integración con las API cloud y los sistemas de identidad.

PatronesZero-day : Grupos como Cl0p continúan identificando y explotando zero-day en software empresarial (MOVEit, Oracle EBS) para la exfiltración masiva de datos. Las organizaciones deben implementar procesos rápidos de aplicación de parches y controles compensatorios para las vulnerabilidades sin parchear.

Recomendaciones para la preparación:

Inmediato: Corregir las vulnerabilidades conocidas que se han explotado en el software empresarial (Oracle EBS, Citrix NetScaler, VMware vCenter).
A corto plazo: Implementar la supervisión del uso de la IA para detectar la filtración de datos a través de herramientas de IA generativa.
A medio plazo: Implementar análisis de comportamiento para la detección de exfiltración cloud
En curso: Supervisar CISA KEV y fuentes de inteligencia sobre amenazas para detectar zero-day

Las prioridades de inversión deben centrarse en capacidades de detección de comportamientos que funcionen en entornos híbridos, análisis basados en inteligencia artificial que puedan seguir el ritmo de la evolución de los atacantes e integración entre herramientas de seguridad que permitan correlacionar todo el ciclo de vida del ataque, desde el acceso inicial hasta la exfiltración.

Más fundamentos de ciberseguridad

Preguntas frecuentes

¿Qué es la exfiltración de datos?

La exfiltración de datos es la transferencia no autorizada de datos desde la red de una organización a una ubicación externa controlada por un agente malicioso. Según el NIST, representa «la transferencia no autorizada de información desde un sistema de información». A diferencia de la exposición accidental de datos o el compromiso del sistema sin robo de datos, la exfiltración implica específicamente la extracción deliberada de información confidencial.

La distinción entre términos relacionados es importante para los equipos de seguridad. Una violación de datos es el resultado, el incidente de seguridad en el que se accede a los datos sin autorización. La fuga de datos es la exposición involuntaria debido a una configuración incorrecta o un error humano. La exfiltración es el método deliberado que utilizan los atacantes para robar información.

En 2024, el 93 % de los ataques de ransomware incluyeron exfiltración, según un estudio de BlackFog, lo que lo convierte en el vector de amenaza dominante en lugar de un fenómeno ocasional. El tiempo medio hasta la exfiltración es ahora de solo dos días, y en casi uno de cada cinco incidentes los datos se roban en la primera hora.

¿Cuál es la diferencia entre la exfiltración de datos y una violación de datos?

La exfiltración de datos es el método o técnica utilizado para robar datos, mientras que una violación de datos es el resultado de un incidente de seguridad en el que se accede a los datos sin autorización. Toda exfiltración crea una violación, pero no toda violación implica una exfiltración.

Por ejemplo, un atacante que obtiene acceso no autorizado a una base de datos y ve los registros de los clientes ha causado una violación, pero si no copia ni transfiere esos datos al exterior, no se ha producido una exfiltración. Por el contrario, cuando los operadores de ransomware utilizan Rclone para copiar 500 GB de archivos al cloud MEGA, se han producido tanto una exfiltración como una violación.

Esta distinción afecta a la respuesta ante incidentes. Las violaciones sin exfiltración pueden tener un impacto limitado si se interrumpe rápidamente el acceso. La exfiltración crea una exposición permanente: una vez que los datos salen del control de la organización, no se pueden recuperar y los atacantes conservan indefinidamente su poder de extorsión.

¿Cómo extraen los atacantes los datos?

Los atacantes extraen datos a través de múltiples canales, seleccionados en función de los requisitos de volumen, las necesidades de sigilo y la infraestructura disponible:

Conexiones HTTPS cifradas: el método más habitual, que aprovecha el cifrado normal del tráfico web para ocultar las transferencias de datos. Puede utilizar servicios cloud o puntos finales personalizados.

Túnel DNS: datos codificados dentro de consultas y respuestas DNS, que eluden los controles de seguridad centrados en el tráfico web. Eficaz para volúmenes de datos más pequeños o cuando otros canales están bloqueados.

ServiciosCloud : Google Drive, Dropbox, OneDrive y MEGA proporcionan una infraestructura legítima para la transferencia de datos. El tráfico se mezcla con el uso normal de la empresa.

Canales de mando y control: datos transmitidos a través de comunicaciones C2 existentes, a menudo cifrados y difíciles de distinguir del tráfico C2 normal.

Medios físicos: unidades USB y almacenamiento extraíble para amenazas internas o cuando se detectaría la filtración de datos de la red.

Los atacantes modernos prefieren herramientas legítimas como Rclone (utilizada en el 57 % de los incidentes de ransomware) que se integran en las operaciones comerciales normales y aprovechan cloud de confianza.

¿Qué herramientas utilizan los atacantes para la exfiltración de datos?

Según un estudio de ReliaQuest que abarca desde septiembre de 2023 hasta julio de 2024, Rclone domina el panorama de las herramientas de exfiltración con un 57 % de los incidentes de ransomware. Otras herramientas que se observan con frecuencia son:

Rclone: sincronización cloud de código abierto mediante línea de comandos que admite más de 40 servicios, incluidos MEGA, Google Drive y S3. Rápido, programable y muy utilizado por los operadores de ransomware.

WinSCP: cliente SFTP/FTP de Windows ampliamente utilizado en empresas, lo que dificulta distinguir el uso malicioso de la actividad legítima.

cURL: Nativo de Windows 10 y versiones posteriores, no requiere implementación adicional. Permite ataques «living-off-the-land» sin necesidad de instalar ejecutables adicionales.

Azure Storage Explorer/AzCopy: cada vez más utilizado por grupos como BianLian y Rhysida para la exfiltración a Azure Blob Storage.

MEGAsync: cliente cloud MEGA que se utiliza con frecuencia junto con Rclone para la sincronización automática con cuentas controladas por atacantes.

Software RMM: AnyDesk, Splashtop y Atera proporcionan capacidades C2 y de transferencia de datos con una justificación comercial legítima.

¿Cómo pueden las organizaciones detectar la filtración de datos?

La detección eficaz de exfiltraciones requiere tecnologías en capas que funcionen conjuntamente:

Prevención de pérdida de datos (DLP): inspección de contenido en busca de patrones de datos confidenciales, aplicación de políticas para el movimiento de datos, pero eficacia limitada frente al tráfico cifrado.

Detección y respuesta de red (NDR): análisis del comportamiento en los patrones de tráfico de red, análisis del tráfico cifrado sin necesidad de descifrado y detección de anomalías con respecto a las bases de referencia establecidas.

Análisis del comportamiento de usuarios y entidades (UEBA): Detección de comportamientos anómalos de los usuarios, incluyendo accesos fuera del horario laboral, volúmenes de datos inusuales y accesos fuera de las funciones normales.

Detección y respuesta en los puntos finales (EDR): supervisión de procesos para herramientas de exfiltración, registro de acceso a archivos y análisis de argumentos de línea de comandos.

Los indicadores clave de detección de compromisos incluyen volúmenes inusuales de datos hacia destinos externos, acceso a archivos fuera del horario laboral seguido de transferencias de red, conexiones a dominios recién registrados, creación de procesos de herramientas de exfiltración (Rclone, WinSCP, cURL) y anomalías en el acceso cloud .

Las organizaciones solo impidieron el 3 % de los intentos de exfiltración en el tercer trimestre de 2025, lo que subraya la necesidad de realizar una inversión integral en detección.

¿Para qué se utiliza el túnel DNS en la exfiltración de datos?

El túnel DNS codifica los datos robados dentro de las consultas y respuestas DNS para eludir los controles de seguridad tradicionales. Dado que el tráfico DNS suele ser fiable y rara vez se inspecciona en profundidad, los atacantes lo utilizan para extraer datos a través de canales que, de otro modo, estarían bloqueados.

La técnica funciona de la siguiente manera:

Dividir los datos en pequeños fragmentos
Codificar fragmentos como consultas de subdominio (por ejemplo, datos-codificados.dominio-del-atacante.com)
Envío de consultas a servidores DNS controlados por atacantes
Recepción de comandos o datos adicionales a través de registros de respuesta DNS

La detección requiere analizar el tráfico DNS en busca de:

Volúmenes de consultas inusualmente altos a dominios específicos
Cadenas largas de subdominios que contienen datos codificados
Alta entropía en cadenas de consulta
Consultas a dominios recién registrados o sospechosos
Patrones que se desvían de las líneas base del DNS organizativo

El túnel DNS es especialmente eficaz en entornos con acceso restringido a Internet pero con políticas DNS permisivas. Los equipos de seguridad deben implementar la supervisión DNS y considerar el filtrado DNS para bloquear las consultas a dominios sospechosos.

¿Qué normativas de cumplimiento se aplican a los incidentes de exfiltración de datos?

Las principales normativas con implicaciones específicas en materia de exfiltración incluyen:

RGPD (UE): exige notificar a la autoridad supervisora en un plazo de 72 horas desde que se tiene conocimiento de una infracción. Las sanciones pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual global. La filtración de datos personales de residentes en la UE conlleva la obligación de notificarlo íntegramente.

HIPAA (Sistema sanitario estadounidense): La norma sobre notificación de infracciones exige notificar a las personas afectadas en un plazo de 60 días. En caso de infracciones que afecten a más de 500 personas, se debe notificar inmediatamente al Departamento de Salud y Servicios Humanos (HHS). Las sanciones oscilan entre 137 y 68 928 dólares por infracción, en función de la culpabilidad.

NIS2 (Infraestructuras críticas de la UE): Exige una alerta temprana en un plazo de 24 horas para incidentes significativos, seguida de un informe completo del incidente en un plazo de 72 horas. Sanciones de hasta 10 millones de euros o el 2 % de los ingresos globales. Introduce la responsabilidad ejecutiva para la dirección.

Las organizaciones deben mantener planes de respuesta ante incidentes que tengan en cuenta estos plazos de notificación. Los plazos reducidos entre la detección y la notificación requieren capacidades de investigación rápidas y plantillas de comunicación preestablecidas.

¿A qué velocidad se produce la exfiltración de datos en los ataques modernos?

La exfiltración moderna se produce a una velocidad sin precedentes. Según el Informe de respuesta a incidentes de 2025 de Unit 42:

Tiempo medio hasta la exfiltración: 2 días desde el compromiso inicial.
Casos de exfiltración rápida: en 1 de cada 5 incidentes, los datos se roban en la primera hora.
Tiempo de permanencia total: reducido a 7 días (desde los 13 días de 2023).

Esta línea temporal comprimida tiene importantes implicaciones para la detección y la respuesta. Los enfoques tradicionales que identifican anomalías durante períodos prolongados pueden pasar por alto por completo la exfiltración. Los equipos de seguridad necesitan análisis de comportamiento en tiempo real capaces de identificar el robo de datos en curso.

La ventaja de la velocidad favorece a los atacantes que ya han mapeado los entornos objetivo o que utilizan herramientas automatizadas para el descubrimiento y la exfiltración. Las organizaciones deben asumir que, una vez detectado el compromiso, es posible que ya se haya producido el robo de datos.

¿Qué es el ransomware de doble extorsión?

La doble extorsión es una táctica de ransomware en la que los atacantes cifran los datos y amenazan con filtrar los datos exfiltrados a menos que se pague un rescate. Este enfoque proporciona múltiples puntos de presión:

Interrupción del cifrado: repercute en las operaciones y genera costes de recuperación.
Amenaza de exposición de datos: crea un efecto de apalancamiento continuo, incluso si los sistemas se restauran a partir de una copia de seguridad.

Grupos como Cl0p han evolucionado aún más, abandonando cada vez más el cifrado por completo en favor de la extorsión basada exclusivamente en la filtración de datos. Este enfoque requiere menos complejidad operativa, al tiempo que mantiene la influencia mediante amenazas de exposición de datos.

BlackFog informa de que el 96 % de los ataques de ransomware en el tercer trimestre de 2025 implicaron exfiltración, y que el 43 % de las víctimas pagaron el rescate en el segundo trimestre de 2024 (frente al 36 % en el primer trimestre). La evolución hacia ataques que dan prioridad a la exfiltración exige que los equipos de seguridad den prioridad a la detección del robo de datos frente a los indicadores centrados en el cifrado.

¿Cuánto cuesta la prevención y respuesta ante la filtración de datos?

Según el informe «Cost of a Data Breach Report 2024» (Coste de una violación de datos 2024) de IBM:

Coste medio de la extorsión por filtración de datos: 5,21 millones de dólares por incidente.
Coste medio global de las infracciones: 4,88 millones de dólares.
Coste medio de las violaciones de seguridad en EE. UU. (2025): 10,22 millones de dólares (máximo histórico)
Coste medio de las infracciones en el sector sanitario: 9,8 millones de dólares.

Las inversiones en prevención varían en función del tamaño de la organización y de la postura de seguridad existente. Las categorías de costes clave incluyen:

Tecnologías de detección (DLP, NDR, UEBA, EDR)
Personal de seguridad para supervisión y respuesta
Controles Cloud (CASB, gestión de identidades)
Segmentación de redes e implementación de confianza cero
Formación en materia de seguridad
Contrato de respuesta ante incidentes y preparación

El coste de la prevención suele ser una fracción del coste de la respuesta ante una infracción. Las organizaciones deben evaluar las inversiones en relación con los posibles costes de los incidentes y las sanciones reglamentarias, que pueden alcanzar los 20 millones de euros o el 4 % de los ingresos globales en virtud del RGPD.