Go back Digital Fraud

Data exfiltration: las técnicas utilizadas por la ciberdelincuencia para el robo de datos

Vivimos en un tiempo en que las filtraciones de datos son muy frecuentes, más que antes. Es una batalla cibernética tanto en el ámbito de la protección como en el del ataque. Y en este último es donde radica la mayor parte del problema.

Puede que parezca un cliché del escenario de la seguridad, pero para protegerse y reducir las posibilidades de caer en que sus datos sensibles se vean expuestos, es necesario ponerse en la cabeza del atacante. Es necesario que logremos entender que el atacante no es únicamente esa persona externa y alejada que quiere tener acceso a datos confidenciales de la empresa, sino también el funcionario de la empresa, más conocido como insider.

En lo que se refiere a las filtraciones de datos, pueden darse de forma intencional o no. En el caso de los insiders, algunas veces ellos mismos no saben que están gestando una filtración de datos, posiblemente porque no saben cómo actuar en determinadas situaciones. En el mundo externo, llámese internet, la mayoría de las filtraciones generalmente ocurren de forma intencional, con objetivos claros y definidos.

¿Y si pudieran provocar una filtración y aun así no ser detectados? 

 

Data exfiltration: el proceso de extracción de datos


Los atacantes en general pueden utilizar técnicas que les permitan pasar desapercibidos ante los sistemas de seguridad, y de esta manera evitar mostrar su presencia en la red y más aun el paquete que “se están llevando”. Técnicamente, en ese caso, podemos decir que tenemos un data exfiltration en curso.

¿Pero realmente sabemos lo que está sucediendo? ¿Tenemos la seguridad de que nuestros sistemas tienen un mínimo de seguridad y de que no se está dando una filtración de datos en ellos (o peor, que ya ocurrió)? El data exfiltration es un conjunto de técnicas utilizadas para despistar el robo de datos, que puede burlar muchos sistemas de ciberseguridad.

También sabemos que el mayor riesgo para la seguridad de la información en las empresas son las personas, e incluso los funcionarios. Sin embargo, hoy nos vamos a enfocar en los recursos tecnológicos que utilizan los atacantes.

 

DoH – DNS Over HTTPS

Como ya mencionamos en la publicación DNS Over HTTPS (DoH) y  los problemas de seguridad y privacidad, el DoH encripta las consultas DNS de manera tal que el contenido de esas consultas no sea visto por terceros. La idea aquí es que el atacante utilice el DoH para realizar filtraciones de datos a servidores externos a la organización por medio de consultas DNS, sin que las herramientas de seguridad se enteren de lo que está ocurriendo.

Existen herramientas como el DNSExfiltrator que utilizan los DoH públicos para encaminar las consultas a los servidores de destino, y estos efectivamente recibirán los archivos y datos filtrados.

 

TCP Data Exfiltration

Similar al DoH, el TCP Data Exfiltration se conecta en el puerto de destino de un servidor malicioso para enviar los archivos filtrados de una organización. Herramientas como el DET (Data Exfiltration Toolkit) realizan esto de forma encriptada. Al analizar el tráfico por medio de Wireshark podemos ver el tráfico, sin lograr ver el contenido real.

Una curiosidad es que el DET surgió como una PoC para identificar las debilidades de soluciones de DLP (Data Loss Prevention).

Tails

Tails es un sistema operativo Linux que hace foco en la seguridad y la privacidad. Proporciona privacidad porque utiliza toda una gama de herramientas que ocultan la identidad de quien lo utiliza. Esto incluye a un atacante que lo instale en un pendrive y lo inserte en el USB de la computadora de la empresa.

A partir del momento en que logre ejecutar el proceso de boot por medio del pen drive, el atacante tendrá a su disposición un sistema operativo que oculta su identidad y le permite instalar otras herramientas, como las que describimos antes.


Ingeniería social

No explicaremos todos los recovecos de la ingeniería social, pero debe saber que explora la debilidad humana en diversos puntos. Un atacante puede:

  • Llamar a la empresa y enviar un email fingiendo ser el superior jerárquico de un analista y así obtener informaciones confidenciales. En esta situación ya se da una filtración de datos.
  • Enviar un pen drive de regalo a algún asistente del CEO. El asistente abrirá el contenido que está en el dispositivo y así creará un canal directo con el servidor del atacante. Dependiendo de la herramienta que el atacante haya utilizado, este canal, que recibe el nombre shell reverso, podrá estar encriptado para dificultar la detección del contenido del tráfico. 
  • Enviar links por e-mail que engañen al usuario para creer erróneamente que está ingresando a un sitio legítimo y bajando la actualización del software que la empresa utiliza.

 

Cómo impedir las filtraciones de  datos (o al menos minimizar la probabilidad de que ocurran)


Proteger a su empresa contra filtraciones de datos requiere no solamente el uso de tecnologías que ayuden a monitorear archivos e informaciones confidenciales, sino también es necesaria la implementación de procesos simples que eviten el uso descontrolado de dispositivos no autorizados en computadoras de la organización, así como campañas de concientización.

  • Al utilizar soluciones de DLP (Data Loss Prevention) se puede saber si realmente se están enviando documentos confidenciales o alguna otra información a un posible atacante. Paralelamente a eso, estas soluciones inspeccionan el tráfico y así pueden bloquear una posible filtración de datos.
  • Las soluciones que gestionan el uso de puertos USB en computadoras de la organización pueden impedir la filtración de datos al hacer que los dispositivos USB maliciosos no sean reconocidos por el sistema operativo.
  • Tal vez uno de los puntos más importantes para la protección de las informaciones de una organización sea la concientización. Capacite a sus colaboradores para que aprendan y fijen los conceptos de seguridad de la información, así como el modo en que deben actuar ante determinadas situaciones.

 

Monitoree posibles filtraciones de datos


El monitoreo constante es esencial, ya que permite que tenga una visualización de cómo es utilizada y compartida la información referente a su organización, lo que le permite actuar de forma proactiva en cualquier situación. 

En ese caso, es necesario que pueda monitorear los datos e informaciones que se encuentran dentro de su perímetro interno (e-mails enviados, informaciones a las que se accede y que se ponen a disposición) de la empresa y también fuera de ella, al realizar búsquedas en la deep y dark web de:

  • Informaciones financieras (tarjetas de crédito, estados de cuenta, etc.)
  • Documentos confidenciales
  • Usuarios y contraseñas
  • Bancos de datos
  • ¡Y otras tantas informaciones sensibles!


Para realizar el monitores de sus bases de datos (como por ejemplo, de credenciales) el uso de honeytokens es una buena medida. Los honeytokens son datos “carnada” que crea usted mismo, y solo conocen usted y su equipo y proveedores de seguridad.

Al utilizarlos y descubrir una filtración de datos (o de algún fragmento) que contenga el honeytoken, podrá enterarse más rápidamente de otros datos, como la fuente y la fecha del ataque, ya que solo usted sabe detalles de esa carnada.

 

Monte una estrategia sólida


Como hemos visto, las filtraciones de datos y la protección están formados por diversos factores; son piezas de un engranaje que constituyen un todo. Identificar las piezas y orquestar la protección y el monitoreo de las informaciones de la organización es tarea de los responsables de la seguridad de la información. ¡Planifique, siempre, planifique!