AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### El sigilo supera a la encriptación: solo el 3% de los intentos de exfiltración de datos son detectados

admin

#### Introducción

El panorama de amenazas en ciberseguridad continúa evolucionando hacia técnicas cada vez más sofisticadas de evasión y persistencia. El reciente **Picus Blue Report 2025** pone de manifiesto una realidad preocupante para los profesionales del sector: tanto el ransomware como los infostealers están priorizando la discreción y el sigilo sobre la mera encriptación de archivos. El informe revela que apenas un 3% de los intentos de exfiltración de datos son detectados y bloqueados por las defensas corporativas actuales, arrojando luz sobre la urgente necesidad de revisar y fortalecer los controles de seguridad ante las nuevas tácticas, técnicas y procedimientos (TTPs) empleados por los atacantes.

#### Contexto del Incidente o Vulnerabilidad

Tradicionalmente, el ransomware se ha asociado con la encriptación masiva de archivos como vector principal de extorsión. Sin embargo, durante los últimos dos años se ha observado una transición hacia ataques de doble y triple extorsión, donde el robo y posterior publicación de datos confidenciales constituye el principal mecanismo de presión. Los infostealers, por su parte, han experimentado un auge gracias a su capacidad para operar de forma silenciosa y extraer información sensible sin levantar sospechas.

El **Picus Blue Report 2025** analiza miles de simulaciones de ataques en infraestructuras corporativas reales, detectando que los controles de seguridad —incluyendo soluciones EDR, NDR y firewalls de última generación— solo logran bloquear de media el 3% de los intentos de exfiltración de información. Este porcentaje pone en entredicho la eficacia de los actuales sistemas de prevención, especialmente ante técnicas de movimiento lateral y exfiltración «living-off-the-land».

#### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los actores de amenazas están explotando una combinación de vulnerabilidades conocidas (CVE) y técnicas avanzadas para evadir la detección. El informe destaca el uso de exploits contra vulnerabilidades no parcheadas en servicios expuestos (por ejemplo, **CVE-2023-23397** en Microsoft Outlook) y el abuso de herramientas legítimas del sistema —como **PowerShell**, **Certutil**, **rclone** o **curl**— para transferir datos hacia servidores de comando y control (C2).

Entre los TTPs más observados, destacan los siguientes mapeados en el framework **MITRE ATT&CK**:

– **T1041: Exfiltration Over C2 Channel** – Exfiltración de datos a través de canales de C2 cifrados.
– **T1567: Exfiltration Over Web Service** – Uso de servicios legítimos en la nube (Dropbox, Google Drive, Mega) para la extracción.
– **T1020: Automated Exfiltration** – Herramientas automatizadas que programan la extracción periódica de información.

Se han identificado indicadores de compromiso (IoC) que incluyen patrones de tráfico inusual a direcciones IP asociadas a servicios de almacenamiento en la nube, credenciales comprometidas y logs de acceso a archivos sensibles fuera de horarios laborales habituales.

En cuanto a herramientas, los ataques suelen orquestarse utilizando frameworks como **Metasploit** (para la explotación inicial), **Cobalt Strike** (para persistencia y movimiento lateral) y utilidades de exfiltración personalizadas empaquetadas en scripts de **Python** o **Go**.

#### Impacto y Riesgos

El bajo porcentaje de detección de la exfiltración de datos implica una ventana de exposición crítica para las organizaciones, que pueden ver comprometidas bases de datos sensibles, propiedad intelectual e información de clientes sin siquiera ser conscientes del ataque. El coste medio de una brecha de datos —según IBM Cost of a Data Breach Report 2024— supera ya los **4,45 millones de dólares**, sin contar daños reputacionales y sanciones regulatorias.

Las consecuencias legales bajo normativas como el **GDPR** o la **Directiva NIS2** pueden ser severas, incluyendo multas de hasta el 4% de la facturación global anual o la pérdida temporal de licencias de operación en la Unión Europea.

#### Medidas de Mitigación y Recomendaciones

El informe de Picus subraya la necesidad de adoptar una estrategia de defensa en profundidad, con especial énfasis en:

– **Monitoreo de tráfico saliente** con soluciones DLP y NDR que empleen inteligencia artificial para detectar patrones anómalos.
– **Segmentación de red** estricta para limitar el movimiento lateral y la fuga masiva de datos.
– **Implementación de Zero Trust** y control de privilegios mínimos.
– **Simulaciones regulares de ataques** (BAS, Breach and Attack Simulation) para identificar y corregir brechas en los controles de seguridad.
– **Actualización y parcheo constante** de aplicaciones y sistemas, priorizando vulnerabilidades explotadas activamente.
– **Auditorías de logs y alertas automáticas** sobre accesos y movimientos de archivos sensibles.

#### Opinión de Expertos

Expertos como **Miguel Ángel Juan**, CTO de S2 Grupo, destacan que “la capacidad de los adversarios para mimetizarse con el tráfico legítimo y el uso de herramientas nativas del sistema hace que los controles tradicionales sean insuficientes. Es imprescindible invertir en análisis de comportamiento y en la automatización de respuestas ante incidentes”.

Por su parte, la investigadora **Helena García** del CSIRT-CV subraya que “la detección temprana de la exfiltración es el nuevo reto: la clave está en la visibilidad y el análisis contextual de los eventos de seguridad”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben asumir que el perímetro tradicional ya no existe y que la exfiltración de datos puede producirse en cualquier momento. Los usuarios, tanto internos como externos, suponen vectores de riesgo si no se refuerzan las políticas de concienciación y control de acceso. Las organizaciones que no adapten sus estrategias a este nuevo paradigma, corren el riesgo de sufrir brechas catastróficas y sanciones regulatorias severas.

#### Conclusiones

El informe Picus Blue Report 2025 pone sobre la mesa una debilidad estructural en las defensas corporativas frente a las técnicas de exfiltración sigilosa empleadas por ransomware e infostealers modernos. La visibilidad, la automatización y la simulación activa de ataques deben convertirse en pilares fundamentales de la ciberdefensa. Ignorar estas tendencias supone dejar expuesta la información crítica de la organización a actores cada vez más hábiles y discretos.

(Fuente: www.bleepingcomputer.com)