Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad ofensiva

Exfiltración de Datos

La exfiltración de datos es la transferencia no autorizada de datos fuera de un sistema o red por parte de un atacante. Los datos robados suelen prepararse, comprimirse y enviarse por un canal de mando y control o por un protocolo alternativo para que la actividad se confunda con el tráfico normal y evite la detección.

Autor
Unihackers Team
Tiempo de lectura
4 min de lectura
Última actualización

La exfiltración de datos es el momento en que una intrusión se convierte en daño real. Un atacante puede pasar semanas ganando acceso, escalando privilegios y moviéndose por una red, pero nada de eso le cuesta nada a la víctima hasta que los datos salen de verdad. En el marco MITRE ATT&CK, la exfiltración es una táctica propia (TA0010): el conjunto de técnicas que usan los adversarios para robar datos una vez recopilados. Entender cómo funciona la exfiltración es clave tanto para los analistas ofensivos, que deben demostrar el impacto, como para los defensores, que deben detener los datos antes de que se vayan.

Cómo funciona la exfiltración

La exfiltración rara vez es una sola acción. Suele ser la etapa final de una operación más larga. Después de que el movimiento lateral sitúe al atacante en sistemas con datos valiosos, los datos se recopilan, se preparan en un solo lugar, se comprimen para reducir su tamaño y se cifran para ocultar su contenido. Solo entonces se transfieren. Ese paso de preparación es intencionado: mover un único archivo grande es más silencioso que copiar miles de ficheros por la red.

La transferencia casi siempre viaja por un canal en el que la red ya confía. Lo más habitual es la conexión de mando y control existente, pero los atacantes también abusan de consultas DNS, HTTPS hacia almacenamiento en la nube, correo o protocolos alternativos que los controles de salida tienden a ignorar. El objetivo siempre es el mismo: que el robo parezca tráfico normal.

Canales de exfiltración habituales

Los atacantes eligen los canales según lo que se confunde con el entorno objetivo:

  • Por el canal C2: reutilizando el enlace de mando y control que el atacante ya estableció.
  • Túnel DNS: codificando datos dentro de consultas DNS, que muchas redes apenas inspeccionan.
  • Servicios web y en la nube: subiendo a almacenamiento SaaS de confianza, sitios de pegado o repositorios de código.
  • Protocolos alternativos: usando un protocolo distinto al del canal C2 para dividir el rastro.

Un ejemplo real de cómo se automatizan estos pasos de principio a fin lo tienes en nuestro análisis de cómo usan la IA los hackers, donde los modelos impulsan la recopilación y la transferencia con mucho menos esfuerzo humano.

Detener y detectar la exfiltración

Como la exfiltración se esconde dentro del tráfico de confianza, la detección depende de saber qué es lo normal. Los defensores establecen una línea base del volumen de salida, los destinos y la mezcla de protocolos, y luego alertan ante desviaciones: una estación de trabajo que de repente sube gigabytes, un volumen de DNS que se dispara o conexiones a un host con el que nadie había hablado antes.

El principio para los defensores es sencillo, aunque la ejecución sea difícil: una intrusión es sobrevivible hasta que los datos salen. Cada control que retrasa o revela la exfiltración recupera el tiempo necesario para detectar al atacante y cortarlo antes de que un compromiso se convierta en una filtración de datos.

En el Bootcamp

Cómo enseñamos Exfiltración de Datos

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Exfiltración de Datos en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido