Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Exfiltración de datos: La nueva y más oscura versión del ransomware
Joao Correia
21 de septiembre de 2022 - Evangelista técnico
El ransomware se ha convertido en una amenaza tan común en los últimos años que las empresas prevén enfrentarse a un ataque en algún momento. Sin embargo, la falta de preparación adecuada de las víctimas sigue siendo la causa de muchos de los ataques, mientras que el alto precio de las criptomonedas ha echado más leña al fuego.
Muchos actores de amenazas de todo el mundo se lanzaron a la acción del ransomware, impulsando un rápido crecimiento a medida que las empresas abrían la puerta a la extorsión mediante una seguridad deficiente, una gestión de parches mediocre y copias de seguridad que simplemente no funcionan.
Aunque el ransomware no va a desaparecer pronto, está perdiendo algo de brillo para los delincuentes. Esto se debe en parte a que algunas organizaciones están mejorando en la defensa de sus activos tecnológicos y a que las bajas valoraciones de las criptomonedas han reducido las ganancias.
Mientras buscan otra oportunidad, los actores de amenazas se han centrado en algo más peligroso que el ransomware: la exfiltración de datos.
¿Qué podría ser una amenaza mayor que la encriptación de datos....?
La exfiltración de datos -o simplemente exfiltración- se está convirtiendo en una amenaza cada vez más común. Nos dimos cuenta de su creciente prevalencia a principios de este año, cuando vimos ataques a Microsoft, Nvidia y otras grandes empresas tecnológicas.
Tomemos como ejemplo el ataque de este año a Nvidia. El grupo de amenazas Lapsus$ enredó a Nvidia en un complejo intercambio en el que se amenazaba al fabricante de chips con la exposición pública del código fuente de su tecnología patentada Deep Learning Super Sampling (DLSS). Si el código de Nvidia se publicaba, socavaría sustancialmente la posición competitiva de la empresa.
Y de eso se trata el exfil. En lugar de centrarse en cifrar datos y amenazar con la pérdida de los mismos, los ataques exfil consisten en exponer al público datos privados y consecuentes. El siguiente paso es similar al del ransomware: el atacante procede a extorsionar a la víctima, amenazándola con hacer públicos los datos o venderlos a un tercero.
De hecho, El setenta por ciento de los ataques de ransomware incluyen ahora una amenaza de filtración de los datos filtrados por el ransomware. Esto supone un aumento del 43% con respecto al trimestre anterior, lo que confirma que la amenaza de filtración de datos se ha convertido rápidamente en parte de la nueva normalidad del ransomware.
En muchos casos, la filtración es una amenaza mucho mayor
En el sector tecnológico, la tecnología patentada es la principal ventaja competitiva. El funcionamiento de esta tecnología -o su código fuente- es increíblemente valioso. Los competidores que acceden a secretos comerciales pueden minar por completo a la empresa que desarrolló inicialmente la tecnología.
Y ni siquiera se trata sólo de la propia tecnología patentada, sino de procesos empresariales confidenciales, algoritmos, grabaciones de conferencias telefónicas... y esto es relevante en todos los sectores.
No es difícil darse cuenta de que los actores malintencionados que acceden a esta información pueden suponer una amenaza real y muy preocupante: la amenaza de arrebatar a una empresa su ventaja competitiva. Es un peligro mucho más importante que el ransomware: los datos perdidos son datos perdidos y nada más. A menudo, estos datos pueden recuperarse hasta cierto punto, y se están implantando prácticas para reducir el impacto de este tipo de ataques. La filtración de información, en cambio, puede causar mucho más daño.
También hay un factor transfronterizo que complica la exfiltración. La exfiltración de información es cada vez más el resultado del complejo estado del mundo actual. Existe una demanda significativa de transferencia de propiedad intelectual de un país a otro, a través de líneas geopolíticas rivales. Además, algunos países pueden incluso ser "indulgentes" con los actores de amenazas locales que centran sus ataques al otro lado de la línea geopolítica.
Exfil tiene otro aspecto interesante
Uno de los temas que impulsa el juego de la exfiltración de información es cómo los actores maliciosos optan cada vez más por pasar desapercibidos el mayor tiempo posible. Los equipos de ciberseguridad llevan tiempo observando este comportamiento, en el que las amenazas permanecen mucho más tiempo en un sistema antes de revelar su presencia.
Esto contrasta completamente con las acciones pasadas que adoptaban el enfoque de un mensaje "has sido hackeado" que aparecía en la pantalla. Al adoptar este enfoque, el atacante tiene más tiempo para observar cómo fluye la información a través de una red, haciendo un reconocimiento más intensivo, con más oportunidades de encontrar el material más jugoso. Permanecer en silencio durante más tiempo ofrece más oportunidades de hacer daño.
Al igual que el ransomware, puede protegerse contra la filtración de datos.
Las estrategias de ciberseguridad contra el ransomware también protegerán contra la extorsión de datos, sólo que ahora es aún más importante que las organizaciones tomen estas medidas. Muchas empresas cuentan con protección contra el ransomware: estrategias de copia de seguridad y un acceso más preciso a sistemas y datos, por ejemplo.
Estas medidas siguen funcionando contra el ransomware y serán un fuerte elemento disuasorio contra los ataques impulsados por la exfiltración de información. Como hemos sugerido muchas veces, eso incluye una de las partes más críticas de la gestión de riesgos de ciberseguridad: mantener los sistemas parcheados de forma coherente, porque los parches cierran muchas vías fáciles para el éxito de un ciberataque.
Sin embargo, los parches tradicionales basados en ventanas de mantenimiento ya no sirven. Sencillamente, no es lo suficientemente eficaz frente a las amenazas que evolucionan con rapidez. En su lugar, considere la aplicación de parches en vivo de TuxCare.
Nuestra solución KernelCare Enterprise protege inmediatamente sus cargas de trabajo frente a las amenazas, eliminando el retraso causado por las ventanas de mantenimiento y reduciendo la oportunidad de que los atacantes encuentren una vía de entrada. Obtenga más información sobre lo que puede hacer KernelCare Enterprise aquí.
