### El ransomware de doble extorsión intensifica la presión: estrategias de protección ante la filtración de datos exfiltrados

#### 1. Introducción

El auge del ransomware de doble extorsión ha redefinido el panorama de amenazas para empresas de todos los sectores. Más allá del cifrado tradicional de archivos locales, los atacantes ahora exfiltran datos confidenciales antes de iniciar el chantaje, amenazando con su publicación si no se paga el rescate. Este método, que busca maximizar la presión sobre las víctimas, requiere contramedidas técnicas sofisticadas que protejan la confidencialidad de la información incluso en caso de brechas. En este contexto, soluciones como la plataforma D.AMO de Penta Security emergen como alternativas para asegurar que los archivos extraídos permanezcan cifrados e inutilizables para los atacantes.

#### 2. Contexto del Incidente o Vulnerabilidad

Durante los últimos años, la doble y triple extorsión se ha consolidado como el modus operandi dominante entre grupos de ransomware como LockBit, BlackCat (ALPHV), y Cl0p. Estos actores no solo bloquean la infraestructura crítica de sus objetivos, sino que también filtran o amenazan con filtrar información sensible en portales de leak sites en la dark web. Según datos de Coveware, en 2023 más del 82% de los incidentes de ransomware implicaron exfiltración de datos, incrementando el coste medio de la recuperación y el riesgo de sanciones bajo normativas como el GDPR.

Las organizaciones, conscientes de que los respaldos tradicionales ya no son suficientes, buscan estrategias que eviten el daño reputacional y legal derivado de la exposición pública de datos, aunque los sistemas de almacenamiento sean comprometidos.

#### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los ataques de doble extorsión suelen iniciarse mediante técnicas de spear phishing (T1566), explotación de vulnerabilidades sin parchear (como CVE-2023-34362 en MOVEit Transfer explotada por Cl0p), o abuso de credenciales comprometidas (T1078). Una vez en la red, los atacantes emplean herramientas como Cobalt Strike o Metasploit para moverse lateralmente (T1021), escalar privilegios y localizar activos valiosos.

Antes del cifrado, se utilizan exfiltradores como Rclone, WinSCP o scripts personalizados para transferir gigabytes de datos hacia servidores controlados por los atacantes (T1041: Exfiltration Over C2 Channel). Los Indicadores de Compromiso (IoC) suelen incluir conexiones sospechosas hacia direcciones IP de proveedores de almacenamiento en la nube no habituales, creación de archivos comprimidos en ubicaciones temporales y la aparición de binarios de Rclone en sistemas Windows.

En cuanto a protección, soluciones como D.AMO de Penta Security implementan cifrado granular persistente a nivel de archivo, asociando claves criptográficas a identidades o dispositivos autorizados. Así, incluso si un atacante consigue exfiltrar archivos, estos permanecen cifrados y no pueden ser descifrados fuera del entorno corporativo seguro.

#### 4. Impacto y Riesgos

El impacto de la doble extorsión va más allá de la interrupción operativa. Las filtraciones públicas pueden afectar la propiedad intelectual, exponer datos de clientes y empleados, e incurrir en multas millonarias. El GDPR impone sanciones de hasta el 4% de la facturación anual global, y la nueva directiva NIS2 endurece los requisitos de notificación y resiliencia para sectores críticos.

Según IBM, el coste medio de una brecha de datos alcanzó los 4,45 millones de dólares en 2023, impulsado en buena parte por los pagos y negociaciones de rescate, así como por el daño a la reputación y la pérdida de confianza de clientes e inversores.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de filtración y exfiltración, se recomienda:

– Aplicar cifrado persistente a nivel de archivo y directorio, gestionando claves fuera del alcance de administradores locales.
– Implementar soluciones de DLP (Prevención de Pérdida de Datos) que detecten movimientos no autorizados de información sensible.
– Configurar políticas de Zero Trust, restringiendo el acceso a los datos por identidad y contexto.
– Monitorizar eventos de acceso y copia de archivos, así como la aparición de herramientas sospechosas como Rclone o Cobalt Strike.
– Concienciar a usuarios sobre phishing y técnicas de ingeniería social.
– Mantener actualizado el inventario de activos y aplicar parches de seguridad de forma proactiva.

Soluciones como D.AMO agregan una capa de seguridad al cifrar datos en reposo y en tránsito, haciendo inviable el uso de los mismos por parte de actores maliciosos aunque sean exfiltrados.

#### 6. Opinión de Expertos

Expertos en ciberseguridad como Kevin Beaumont y el equipo de SANS Institute coinciden en que el cifrado persistente es una de las pocas defensas efectivas contra la doble extorsión: “La protección debe acompañar al dato allá donde vaya. La exfiltración deja de ser rentable para el atacante si el archivo sigue siendo crípticamente inaccesible fuera del entorno controlado”, señala Beaumont. Asimismo, recomiendan la integración de soluciones de cifrado con sistemas SIEM y SOAR para una respuesta automatizada y contextual.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la adopción de cifrado persistente y control de acceso granular es ya un requisito, especialmente bajo la presión de normativas como GDPR y NIS2. Implementar estrategias que hagan inútil la exfiltración de datos reduce considerablemente el incentivo económico para los atacantes y refuerza la posición negociadora de la víctima en caso de incidente.

Para los usuarios, la concienciación es clave: saber identificar vectores de entrada como phishing o archivos adjuntos maliciosos es la primera línea de defensa.

#### 8. Conclusiones

El ransomware de doble extorsión representa una amenaza compleja y en constante evolución para las organizaciones. Asegurar los datos con cifrado persistente, como propone la plataforma D.AMO, convierte la exfiltración en un vector ineficaz, minimizando tanto el impacto reputacional como el legal. La integración de estas tecnologías, junto con robustas políticas de seguridad y monitorización, es esencial para resistir la presión de los grupos de ransomware y proteger los activos más críticos de la empresa.

(Fuente: www.bleepingcomputer.com)