Tu nube, su base de datos: hackers extraen información de forma indetectable usando software "legítimo"
¿Para qué crear virus si basta con usar herramientas administrativas para espiar?
Las utilidades comunes, conocidas por cualquier administrador, cada vez con más frecuencia se convierten en una herramienta para el robo de datos. Los atacantes han dejado de confiar únicamente en programas maliciosos y actúan de forma mucho más sencilla: toman herramientas legales, que ya existen en la infraestructura de la empresa, y extraen información sin ser detectados.
Los especialistas de Cisco Talos describieron este enfoque en el marco del proyecto Exfiltration Framework. El trabajo muestra cómo los atacantes utilizan las capacidades estándar de los sistemas operativos, programas de terceros populares y clientes en la nube para transferir datos. Este enfoque complica seriamente la detección, porque los signos habituales de compromiso y el bloqueo por herramienta casi no funcionan.
No se trata de medios raros o exóticos. Para el robo de datos se emplean PowerShell, robocopy, curl, rclone, Syncthing, así como clientes de plataformas en la nube como AWS CLI o AzCopy. Todos los programas mencionados se usan de forma habitual en el trabajo cotidiano, por lo que su ejecución por sí sola no provoca sospechas.
El problema principal es que los atacantes se hacen pasar por actividad legítima. La transferencia de datos se realiza a través de protocolos estándar, con mayor frecuencia mediante HTTPS, utilizando puertos permitidos y cifrado. Desde el punto de vista de la red, ese tráfico parece una copia de seguridad o una sincronización. Incluso el acceso a servicios en la nube no alarma, porque las empresas mismas los usan activamente.
Exfiltration Framework propone fijarse no en las herramientas en sí, sino en el comportamiento. El modelo tiene en cuenta cómo se inicia un programa, qué procesos lo invocan, hacia dónde se dirige el tráfico, qué rastros quedan en el sistema y cómo se comporta la transferencia de datos. Este enfoque ayuda a encontrar indicadores robustos de abuso, aunque la utilidad haya sido renombrada o se ejecute desde un directorio de confianza.
El análisis mostró varias técnicas características. Una de las más comunes es la ocultación. Por ejemplo, rclone a menudo se renombra y se coloca en directorios habituales para ocultar la transferencia de datos a la nube. En los registros ese proceso aparece como actividad sistémica normal.
Otra técnica es el robo de datos «lento». En lugar de una única volcada grande, los atacantes fragmentan los datos en porciones pequeñas y las envían de forma gradual. Este método permite no superar los umbrales de los sistemas de defensa y permanecer inadvertidos durante semanas.
El comportamiento en la nube plantea retos adicionales. La transferencia de datos a través de los clientes oficiales apenas se diferencia del trabajo legítimo. Las direcciones IP y los dominios pertenecen a grandes proveedores, por lo que la filtración por señales de red pierde sentido. En consecuencia, mucho depende del contexto: quién envía los datos, a dónde y en qué volumen.
Los rastros en el sistema también se comportan de forma distinta. Algunas utilidades dejan archivos de configuración, registros y credenciales; otras casi no escriben nada. Por ejemplo, los scripts de PowerShell pueden ejecutarse solo en memoria y desaparecer sin huellas evidentes. Por eso no se puede confiar en un conjunto único de artefactos.
Los autores concluyen que una detección fiable requiere correlacionar datos de varias fuentes a la vez. Se necesitan registros de los dispositivos finales, tráfico de red e información de los servicios en la nube. Y lo más importante no son los eventos aislados, sino las desviaciones del comportamiento normal: volúmenes inusuales de transferencia, direcciones poco habituales o un contexto extraño de ejecución.
En esencia, la sigilosidad en estos ataques la proporcionan no las tecnologías complejas, sino la confianza en las herramientas autorizadas. Mientras las empresas consideren estas utilidades seguras por defecto, los atacantes seguirán usándolas como la forma más sencilla y fiable de extraer datos.