EXFILTRACIÓN OFFLINE: CÓMO SE ROBAN TUS DATOS SIN CONEXIÓN A INTERNET
- marketing digital gs3
- hace 6 días
- 4 Min. de lectura
La exfiltración de datos, también conocida como extrusión o exportación de datos, se refiere al robo de información, es decir, a la transferencia intencional, no autorizada y encubierta de datos desde una computadora u otro dispositivo.
En español, el término “Offline” significa “fuera de línea”, es decir, que no tiene conexión a una red. Por lo tanto, el término exfiltración offline hace referencia a la transferencia de información sensible desde un entorno aislado, sin acceso a internet, con fines maliciosos.
Por lo general, un ciberataque busca robar los datos que ya se poseen; sin embargo, algunos tipos de malware también registran y recopilan datos nuevos que aún no están almacenados.
Existe la creencia de que un sistema sin conexión a internet es más seguro, ya que al no estar conectado se elimina la exposición directa a amenazas cibernéticas como el phishing, el malware u otros ataques comunes. Sin embargo, esto no es del todo cierto, ya que la seguridad depende de múltiples factores.
DIFERENCIAS ENTRE: EXFILTRACIÓN DE DATOS, FUGA DE DATOS, Y FILTRACIÓN DE DATOS.
La exfiltración de datos implica el robo intencionado de la información. La fuga de datos es la exposición accidental o no intencional de datos confidenciales. La filtración de datos es cualquier incidente que genera acceso no autorizado a dicha información.
Por ejemplo: una filtración o fuga de datos da acceso no autorizado a un actor de amenazas. Sin embargo, no se convierte en una exfiltración hasta que los datos se copian o trasladan a otro dispositivo bajo el control del atacante.
TIPOS DE EXFILTRACIÓN DE DATOS
• Automatizada: Archivos que son descargados en segundo plano que se ocultan entre el
tráfico legítimo, usando técnicas de imitación.
• En porciones pequeñas: Los datos se dividen en fragmentos para evitar alertas por volumen.
• Protocolo C2 y alternativo: Los datos se transfieren a ubicaciones variadas
mediante protocolos como FTP/S, SMTP, HTTP/S, DNS o Net/SMB. También pueden esconderse dentro de servicios en la nube.
• Inalámbrico: Se utiliza Bluetooth, Wi-Fi, canales celulares o de radiofrecuencia para evitar la detección por la red.
• Físico: (Aún utilizado en entornos de alta seguridad), usando USB, discos duros
externos, móviles o MP3. • Servicios web: Por ejemplo, Google Drive permite intercambio de datos que puede pasar desapercibido para firewalls.
• Programada: Los datos se extraen en horarios definidos para simular tráfico regular. Ejemplos:
-ADVSTORESHELL: Cada 10 min.
-Cobalt Strike: Intervalos aleatorios
-LightNeuron: Horario nocturno o laboral.
-ShimRat: En modo de suspensión.
•A través de la nube: Los datos se transfieren a una cuenta dentro del mismo proveedor de nube mediante conexiones API.
• Offline: Aprovechando acceso físico para evadir defensas de red tradicionales.
EXFILTRACIÓN DE DATOS OFFLINE
La exfiltración offline no utiliza redes convencionales y, por tanto, no puede ser monitoreada. Este tipo de ataque se aprovecha de dispositivos sin conexión ni protocolos activos de defensa.
Ejemplos:
• Dispositivos de almacenamiento extraíbles: Pendrives, discos externos, móviles.
• Impresión de documentos: Se imprimen datos sensibles y se extraen físicamente.
• Canales encubiertos: Uso de señales de luz o audio.
• Ataques de fuerza bruta: Intento sistemático de contraseñas en dispositivos con
acceso físico.
• Keyloggers y acceso físico: Desde dispositivos USB espía hasta software malicioso.
• Ataques de cold boot: Acceso a la RAM tras apagar el equipo para recuperar datos sensibles.
Estos ataques suelen pasar desapercibidos, permitiendo tiempo para extraer datos o insertar malware.
TÉCNICAS DE EXFILTRACIÓN OFFLINE
A continuación, algunos métodos reales y documentados:
• AirHopper: Usa señales electromagnéticas emitidas por la tarjeta gráfica para transmitir datos a través de radio FM.
• PowerHammer: Transmite datos usando variaciones en el consumo eléctrico por el cable de corriente.
• Fansmitter: Regula la velocidad de los ventiladores para emitir sonidos audibles solo por micrófonos remotos.
• Luces LED: Variaciones
imperceptibles en luz pueden codificar datos.
• DiskFiltration: Utiliza el ruido del disco duro para enviar información captada por un micrófono cercano.
• Mosquito: Convierte altavoces pasivos en micrófonos ultrasónicos para capturar datos.
¿CÓMO PREVENIR ESTOS ATAQUES?
Los ataques offline requieren prevención física y política, ya que no suelen generar alertas automáticas. Recomendaciones clave:
• Aislamiento físico real: Aulas de Faraday o blindajes.
• Monitoreo de emisiones: Eléctricas, acústicas, ópticas y RF.
• Políticas estrictas: Prohibición de celulares o USB en zonas críticas.
• Endurecimiento del sistema: Deshabilitar puertos innecesarios, cifrado total de disco, asegurarse de apagado completo.
CONCLUSIÓN
Cuando hablamos de ciberataques, solemos pensar en internet. Pero los ataques offline nos recuerdan que el peligro puede estar incluso en sistemas aislados. Basta una señal, una luz o un sonido para robar la información más valiosa.
Ignorar estas amenazas es ignorar la mitad del problema. Aprender sobre ellas es vital. Conocer cómo operan estos ataques es más que curiosidad: es estrategia. Porque en ciberseguridad, protegerse no es solo reaccionar ante lo evidente, es anticiparse a lo invisible.
FUENTE:
Koval, K. (2022, 20 septiembre). What Is Data Exfiltration? MITRE ATT&CK® Exfiltration Tactic | TA0010. SOC Prime. https://socprime.com/blog/what-is-data-exfiltration-mitre-attack/
IBM, I. IBM. (2023, 23 abril) ¿Qué es la exfiltración de datos? https://www.ibm.com/mx-es/think/topics/data-exfiltration#:~:text=La%20exfiltraci%C3%B3n%20de%20datos%2C%20tambi%C3%A9n,manualmente%20o%20automatizar%20mediante%20malware.
¿Qué es un Ataque Offline? - Términos y Definiciones de Ciberseguridad. (s. f.). https://www.vpnunlimited.com/es/help/cybersecurity/offline-attack.
AirHopper: robando información desde ordenadores aislados. (2014, 10 noviembre). https://www.welivesecurity.com/la-es/2014/11/10/airhopper-robando-informacion-ordenadores-aislados/
Fansmitter: Exfiltración acústica de datos desde ordenadores con espacio de aire a través del ruido de los ventiladores (2020, abril). https://www.sciencedirect.com/science/article/abs/pii/S0167404820300080
Merino, M. (2023, 19 junio). Las luces LED de tus dispositivos se «chivan» a los hackers: grabar su parpadeo les permite extraer. . . Genbeta. https://www.genbeta.com/seguridad/luces-led-tus-dispositivos-se-chivan-a-hackers-grabar-su-parpadeo-les-permite-extraer-claves-criptograficas
Draigor, I. (2024, 17 julio). MOSQUITO Attack Allows Air-Gapped Computers to Covertly Exchange Data. Cyber @ Ben-Gurion University. https://cyber.bgu.ac.il/mosquito-attack-allows-air-gapped-computers-to-covertly-exchange-data/#:~:text=Dubbed%20MOSQUITO%2C%20the%20new%20technique,a%20specific%20audio%20chip%20feature.
¿Qué es un Ataque Offline? - Términos y Definiciones de Ciberseguridad. (s. f.-b). https://www.vpnunlimited.com/es/help/cybersecurity/offline-attack
Comentarios