1. Actividad Inusual en Servidores Críticos (El Reconocimiento)

1. Crecimiento Imprevisto de Tráfico Saliente (Upload): El tráfico de salida hacia destinos externos aumenta drásticamente y en patrones irregulares, especialmente fuera del horario laboral.

2. Conexiones a Servicios de Almacenamiento no Autorizados: Detección de conexiones a servicios en la nube públicos (Dropbox, Mega, Pastebin) o servidores FTP/SMB que no forman parte de su infraestructura de nube habitual.

3. Creación Masiva de Archivos Comprimidos/Rar: Los atacantes consolidan datos en grandes archivos ZIP o RAR cifrados antes de la fuga para evadir sistemas DLP (Data Loss Prevention) simples. Busque procesos que ejecutan herramientas de compresión sobre directorios sensibles.

2. Comportamiento Anómalo en Cuentas (El Disfraz)

4. Autenticación de Cuentas Inactivas: Una cuenta de servicio o de un empleado que ha estado inactivo de repente realiza accesos a archivos o servidores críticos. Esto suele indicar credenciales robadas.

5. Uso de Herramientas Legítimas (Living Off the Land): El atacante usa herramientas nativas del sistema operativo (PowerShell, Certutil, Bitsadmin) para el movimiento lateral o para cifrar/transferir datos. Esto es difícil de detectar sin XDR/EDR avanzado.

6. Cambios en las Políticas de Backups: Deshabilitar servicios de backup o modificar tareas de replicación. Esto es un paso preparatorio para el cifrado o para dificultar la recuperación.

3. Señales de Post-Acceso y Persistencia (La Preparación)

7. Activación de Canales de Comunicación Encubiertos: Detección de tráfico a puertos inusuales, uso de DNS túneling o comunicaciones a dominios recién registrados que buscan establecer un canal de comando y control (C2).

8. Ejecución de Módulos de Robo de Credenciales: Detección de herramientas conocidas de dumping de credenciales (como Mimikatz) en endpoints o servidores.

9. Uso de Criptomineros o Servicios de Bóveda: Detección de aplicaciones de criptominería o de secrets vault no autorizadas. A veces, los atacantes prueban la persistencia o usan recursos robados para otros fines.

10. Alertas Silenciadas o Políticas Desactivadas: Modificación de configuraciones de seguridad críticas, como la desactivación del antivirus o la desactivación de alertas de log, lo que permite al atacante operar sin ser detectado.

¿Cómo TI Rescue le Ayuda a Detectar Antes de que Sea Tarde?

La detección de exfiltración no es posible sin una visibilidad total de la red y los endpoints. Los firewalls tradicionales no son suficientes.

XDR Gestionado con Contención Automática: Implementamos XDR/EDR con contención automática en los endpoints para detener el movimiento lateral y aislar la amenaza apenas se detecta el uso de herramientas Living Off the Land.

SOC 24/7 con Analítica e IA: Nuestro SOC 24/7 incorpora analítica e IA para correlacionar eventos, priorizar alertas y reducir los tiempos de detección (MTTD) y respuesta (MTTR).

Backups Inmutables y Pruebas de Restore: Garantizamos que, si la exfiltración ocurre, al menos tendrá la capacidad real de recuperación para volver a la operación rápidamente.