Ocurre en la fase final de un ataque, tras acceso inicial, persistencia y movimiento lateral.
Qué es exfiltración de datos
La exfiltración de datos es la transferencia no autorizada de información desde una organización hacia el exterior, ya sea por atacantes externos, amenazas internas o malware automatizado. Es la fase final de muchos ataques avanzados y el momento en que el daño se materializa de forma irreversible.
Por qué importa
La exfiltración es el punto donde un incidente de seguridad se convierte en una brecha con consecuencias reales. Según GDPR, LOPD y NIS2, la pérdida de datos personales u operacionales obliga a notificación a autoridades y clientes afectados. El daño reputacional puede ser irreversible. En ataques de ransomware modernos, el atacante roba datos antes de cifrar sistemas: si la víctima no paga, los publica. El robo de secretos comerciales o datos de investigación beneficia directamente a competidores. Los costes directos —forense, litigios, sanciones regulatorias, notificación a afectados— son catastróficos para muchas organizaciones. A nivel técnico, la exfiltración ocurre en la fase final de la cadena de ataque, tras acceso inicial, persistencia y movimiento lateral. Puede realizarse mediante múltiples vectores: FTP, HTTPS, DNS tunneling, servicios cloud, correo electrónico o herramientas legítimas del sistema. A menudo pasa desapercibida durante semanas porque el tráfico de salida puede parecer legítimo, especialmente si los datos se comprimen, cifran o fragmentan.
Puntos clave
Puede realizarse mediante FTP, HTTPS, DNS tunneling, servicios cloud, correo electrónico o herramientas legítimas del sistema operativo.
A menudo pasa desapercibida durante semanas porque el tráfico de salida puede parecer legítimo.
Los datos pueden ser comprimidos, cifrados o fragmentados para dificultar su detección.
Una vez exfiltrados, los datos están fuera del control de la organización. La recuperación es imposible.
Ejemplo de exfiltración de datos en empresa
Un grupo de ciberdelincuencia compromete el servidor de correo de una empresa farmacéutica. Tras establecer persistencia, el atacante realiza movimiento lateral hacia servidores de archivos y bases de datos de investigación. Utiliza herramientas del sistema (PowerShell, robocopy) para copiar datos de ensayos clínicos a un servidor web comprometido dentro de la red. Comprime los datos (~150 GB) en archivos RAR cifrados fragmentados en partes de 500 MB y los transfiere al exterior vía HTTPS a servidores proxy intermediarios, distribuyendo el tráfico durante 3 semanas para evitar detección por volumen. La organización descubre la exfiltración 45 días después, cuando un analista detecta procesos PowerShell anómalos. Para entonces, los datos ya están publicados en foros clandestinos.
Errores habituales
- Confundir detección de acceso a datos con prevención de exfiltración. Saber que alguien accedió a un archivo no impide que lo copie. Se requiere DLP, SIEM y análisis comportamental.
- Enfoque únicamente perimetral: si la red es segura pero los servidores internos no tienen auditoría, los datos pueden robarse sin detección desde dentro.
- No monitorizar tráfico de salida. Muchas organizaciones tienen visibilidad excelente de entrada pero invisibilidad total de salida.
- No clasificar datos: sin saber dónde residen los datos críticos, es imposible protegerlos específicamente.
- Subestimar herramientas legítimas: PowerShell, WinRAR, herramientas FTP nativas u Outlook son vectores habituales que el antivirus no detecta.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre fuga de datos y exfiltración?
La fuga de datos puede ser accidental (un empleado envía un archivo por error). La exfiltración implica intención deliberada: un atacante o insider que extrae datos de forma planificada para obtener beneficio.
¿Cómo se detecta la exfiltración de datos?
Mediante monitorización del tráfico de salida, análisis de comportamiento de usuarios (UEBA), herramientas DLP, inspección de protocolos y correlación de eventos en el SIEM. La detección requiere visibilidad tanto de red como de endpoints.
¿Qué regulaciones obligan a notificar una exfiltración?
GDPR exige notificación a la autoridad en 72 horas si hay datos personales afectados. NIS2 obliga a entidades esenciales e importantes. DORA aplica a entidades financieras. En España, la AEPD supervisa el cumplimiento de LOPD/GDPR.
¿Se puede prevenir completamente la exfiltración?
No al 100%, pero se puede reducir drásticamente con segmentación de red, control de acceso granular, monitorización de tráfico saliente, DLP y respuesta rápida ante indicadores de compromiso.