Recolección (Táctica MITRE)
¿Qué es Recolección (Táctica MITRE)?
Recolección (Táctica MITRE)Táctica MITRE ATT&CK (TA0009) que cubre las técnicas usadas para reunir información de interés antes de su exfiltración.
Recolección (táctica MITRE ATT&CK TA0009) agrupa las técnicas con las que el atacante localiza y prepara los datos valiosos antes de exfiltrarlos. Incluye capturas de pantalla, keylogging, monitorización del portapapeles, captura de audio y vídeo, archivado de ficheros locales y de red, cosecha de buzones en Microsoft 365 o Google Workspace, scripts de recolección automatizada y acceso a buckets de almacenamiento cloud. Habitualmente, el adversario comprime y cifra los datos en archivos de staging (.zip, .rar, .7z) en directorios temporales para reducir el ancho de banda y eludir firmas DLP. Los defensores detectan la recolección con reglas DLP, logs de auditoría de buzón, patrones anómalos de acceso a ficheros, creación de archivos comprimidos grandes, detecciones EDR sobre APIs de captura de pantalla/keylogger y ficheros señuelo.
● Ejemplos
- 01
Un atacante comprime todos los .docx y .xlsx de un recurso de finanzas en un único archivo en C:\Users\Public\.
- 02
Habilitar reglas de reenvío del buzón en M365 para extraer correos de directivos a una cuenta externa.
● Preguntas frecuentes
¿Qué es Recolección (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0009) que cubre las técnicas usadas para reunir información de interés antes de su exfiltración. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Recolección (Táctica MITRE)?
Táctica MITRE ATT&CK (TA0009) que cubre las técnicas usadas para reunir información de interés antes de su exfiltración.
¿Cómo funciona Recolección (Táctica MITRE)?
Recolección (táctica MITRE ATT&CK TA0009) agrupa las técnicas con las que el atacante localiza y prepara los datos valiosos antes de exfiltrarlos. Incluye capturas de pantalla, keylogging, monitorización del portapapeles, captura de audio y vídeo, archivado de ficheros locales y de red, cosecha de buzones en Microsoft 365 o Google Workspace, scripts de recolección automatizada y acceso a buckets de almacenamiento cloud. Habitualmente, el adversario comprime y cifra los datos en archivos de staging (.zip, .rar, .7z) en directorios temporales para reducir el ancho de banda y eludir firmas DLP. Los defensores detectan la recolección con reglas DLP, logs de auditoría de buzón, patrones anómalos de acceso a ficheros, creación de archivos comprimidos grandes, detecciones EDR sobre APIs de captura de pantalla/keylogger y ficheros señuelo.
¿Cómo defenderse de Recolección (Táctica MITRE)?
Las defensas contra Recolección (Táctica MITRE) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Recolección (Táctica MITRE)?
Nombres alternativos comunes: Staging de datos, TA0009.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 398
Exfiltración
Táctica MITRE ATT&CK (TA0010) que cubre las técnicas usadas para sacar datos robados de la red víctima hacia una ubicación controlada por el atacante.
- malware№ 590
Keylogger
Software o hardware que registra las teclas pulsadas por un usuario y se utiliza para robar contraseñas, datos financieros o mensajes.
- privacy№ 278
Prevención de Pérdida de Datos (DLP)
Conjunto de tecnologías y políticas que detectan y bloquean la exfiltración no autorizada de datos sensibles en endpoints, redes, correo y servicios en la nube.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
- malware№ 1083
Spyware
Malware que recopila en secreto información sobre un usuario, dispositivo u organización y la envía a un tercero.