Exfiltración
¿Qué es Exfiltración?
ExfiltraciónTáctica MITRE ATT&CK (TA0010) que cubre las técnicas usadas para sacar datos robados de la red víctima hacia una ubicación controlada por el atacante.
Exfiltración (táctica MITRE ATT&CK TA0010) agrupa las técnicas usadas para sacar los datos ya recolectados fuera del entorno de la víctima. Canales habituales: exfiltración sobre los mismos protocolos de C2, transferencia a servicios web como Dropbox, Mega o destinos rclone-a-cloud, DNS tunneling, POSTs HTTPS a dominios controlados, transferencias programadas para mimetizarse con el horario laboral, e incluso medios físicos. Los adversarios limitan el ancho de banda, trocean los archivos y usan TLS para complicar la detección. Los defensores despliegan DLP, filtrado de egress, inspección TLS perimetral, monitorización de flujos salientes inusuales, alertas sobre rclone/megacmd y controles de identidad en almacenamiento cloud. En el doble extorsionado del ransomware, la exfiltración suele preceder al cifrado para aumentar la presión.
● Ejemplos
- 01
Usar rclone para copiar un archivo de varios gigas con documentos internos a una cuenta de Mega.io.
- 02
Sacar secretos por DNS tunneling desde un segmento aislado mediante largas consultas TXT.
● Preguntas frecuentes
¿Qué es Exfiltración?
Táctica MITRE ATT&CK (TA0010) que cubre las técnicas usadas para sacar datos robados de la red víctima hacia una ubicación controlada por el atacante. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Exfiltración?
Táctica MITRE ATT&CK (TA0010) que cubre las técnicas usadas para sacar datos robados de la red víctima hacia una ubicación controlada por el atacante.
¿Cómo funciona Exfiltración?
Exfiltración (táctica MITRE ATT&CK TA0010) agrupa las técnicas usadas para sacar los datos ya recolectados fuera del entorno de la víctima. Canales habituales: exfiltración sobre los mismos protocolos de C2, transferencia a servicios web como Dropbox, Mega o destinos rclone-a-cloud, DNS tunneling, POSTs HTTPS a dominios controlados, transferencias programadas para mimetizarse con el horario laboral, e incluso medios físicos. Los adversarios limitan el ancho de banda, trocean los archivos y usan TLS para complicar la detección. Los defensores despliegan DLP, filtrado de egress, inspección TLS perimetral, monitorización de flujos salientes inusuales, alertas sobre rclone/megacmd y controles de identidad en almacenamiento cloud. En el doble extorsionado del ransomware, la exfiltración suele preceder al cifrado para aumentar la presión.
¿Cómo defenderse de Exfiltración?
Las defensas contra Exfiltración combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Exfiltración?
Nombres alternativos comunes: Exfiltración de datos, TA0010.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 199
Recolección (Táctica MITRE)
Táctica MITRE ATT&CK (TA0009) que cubre las técnicas usadas para reunir información de interés antes de su exfiltración.
- network-security№ 344
Tunelización DNS
Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP 53, muy utilizado para C2 y exfiltración de datos.
- privacy№ 278
Prevención de Pérdida de Datos (DLP)
Conjunto de tecnologías y políticas que detectan y bloquean la exfiltración no autorizada de datos sensibles en endpoints, redes, correo y servicios en la nube.
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
● Véase también
- № 275Brecha de datos