Exfiltracion de datos en la nube
¿Qué es Exfiltracion de datos en la nube?
Exfiltracion de datos en la nubeCopia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.
La exfiltracion de datos en la nube es la fase de una intrusion en la que los atacantes trasladan informacion desde servicios cloud comprometidos hacia infraestructuras propias. Tecnicas comunes incluyen S3 GetObject y Sync, compartir snapshots EBS o RDS con cuentas externas mediante SharePermission, politicas de replicacion entre cuentas, exportaciones de BigQuery o Athena, buckets publicos y URLs firmadas con larga expiracion. El egress puede ocultarse en servicios legitimos como versionado o herramientas de backup. Las defensas combinan IAM minimo, reglas de denegacion para compartir snapshots, VPC endpoints con SCPs, cifrado con claves gestionadas por el cliente, deteccion de trafico anomalo y escaneo DLP.
● Ejemplos
- 01
Un atacante usa credenciales IAM robadas para ejecutar aws s3 sync sobre un bucket sensible.
- 02
Compartir un snapshot RDS con una cuenta AWS externa para volcar tablas de clientes.
● Preguntas frecuentes
¿Qué es Exfiltracion de datos en la nube?
Copia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Exfiltracion de datos en la nube?
Copia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.
¿Cómo funciona Exfiltracion de datos en la nube?
La exfiltracion de datos en la nube es la fase de una intrusion en la que los atacantes trasladan informacion desde servicios cloud comprometidos hacia infraestructuras propias. Tecnicas comunes incluyen S3 GetObject y Sync, compartir snapshots EBS o RDS con cuentas externas mediante SharePermission, politicas de replicacion entre cuentas, exportaciones de BigQuery o Athena, buckets publicos y URLs firmadas con larga expiracion. El egress puede ocultarse en servicios legitimos como versionado o herramientas de backup. Las defensas combinan IAM minimo, reglas de denegacion para compartir snapshots, VPC endpoints con SCPs, cifrado con claves gestionadas por el cliente, deteccion de trafico anomalo y escaneo DLP.
¿Cómo defenderse de Exfiltracion de datos en la nube?
Las defensas contra Exfiltracion de datos en la nube combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Exfiltracion de datos en la nube?
Nombres alternativos comunes: Egress en la nube, Exfiltracion de buckets cloud.
● Términos relacionados
- cloud-security№ 190
Robo de tokens en la nube
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
- cloud-security№ 186
Filtracion de claves cloud
Exposicion accidental de claves cloud de larga duracion en repositorios publicos, imagenes de contenedor, logs o codigo cliente, a menudo abusadas en minutos.
- cloud-security№ 505
Escalada de privilegios IAM
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
- cloud-security№ 187
SSRF al metadato de la nube
Ataque SSRF que abusa de una aplicacion vulnerable para consultar el servicio de metadatos de instancia del proveedor cloud y robar credenciales temporales.
● Véase también
- № 211Container Escape
- № 079Ataque a AWS IMDSv1
- № 598Ataque a cluster de Kubernetes
- № 255Hallazgo CSPM