¿Qué es Ethical Hacking? Todo lo que necesitas saber

Cuando hablamos de ataques informáticos, solemos pensar en el momento en que los datos son robados. Sin embargo, antes de que la información salga de una organización, los atacantes deben organizar y preparar todo. Ese proceso se llama Data Staged, identificado en el marco MITRE ATT&CK como la técnica T1074.

¿Qué es Data Staged (T1074)?

Data Staged es la técnica mediante la cual un atacante almacena, agrupa y organiza la información robada dentro del sistema comprometido, antes de exfiltrarla (sacarla de la red). En otras palabras, no roban los datos de inmediato: primero los “apilan” en lugares estratégicos, los comprimen, los encriptan o los renombran para facilitar su salida sin ser detectados.

Este paso es crucial porque permite al atacante optimizar la cantidad de información que va a extraer, evitar errores durante la exfiltración y, sobre todo, minimizar el riesgo de ser descubierto. Si la información estuviera dispersa por todo el sistema, sería mucho más difícil llevársela sin dejar rastros.

👉 ¡Solicita tu auditoría ahora y garantiza la seguridad de tu empresa!

🚀 ¡Contáctanos ahora!

Más información

¿Cómo suelen hacerlo los atacantes?

Normalmente crean archivos temporales en discos locales, unidades compartidas o servidores internos. Estos archivos pueden estar:

  • Comprimidos en ZIPs protegidos con contraseña,

  • Agrupados en carpetas ocultas,

  • Disfrazados con extensiones inocentes, como .jpg o .docx,

  • O incluso cifrados para que parezcan ilegibles si son descubiertos.

Ejemplo práctico para entender Data Staged:

Imagina que un ciberdelincuente accede a una empresa que maneja información financiera. No va a enviar cientos de documentos de inmediato, porque eso levantaría alarmas. En cambio, selecciona los archivos más importantes, los copia en una carpeta oculta llamada “Actualizaciones2025”, los comprime en un archivo como docs_backup.zip, y recién después planea sacarlos del sistema usando un canal encubierto, como Dropbox o un servidor FTP.

De esta forma, el atacante gana tiempo, evita saturar el tráfico de red y tiene todo listo para una extracción rápida cuando llegue el momento.

Qué es Data Staged T1074

¿Dónde suelen almacenar los datos staged?

  • En carpetas de usuarios (C:\Users\Public)

  • En unidades compartidas de red

  • En discos externos conectados al sistema

  • Incluso en bases de datos temporales creadas para este propósito

¿Por qué es peligroso y cómo detectarlo?

El mayor problema es que, si no se monitorean adecuadamente los sistemas, el almacenamiento intermedio puede pasar desapercibido. Los atacantes pueden quedarse días o semanas preparando su ataque final sin que nadie se dé cuenta. Para detectar esta técnica, es vital auditar la creación de archivos comprimidos, los cambios en carpetas no autorizadas y los movimientos masivos de datos internos.

Herramientas de monitoreo como SIEMs, junto con reglas de comportamiento anómalo, pueden ayudar a identificar patrones de Data Staged antes de que ocurra la exfiltración real.

Data Staged (T1074) es una fase silenciosa pero crítica en muchos ciberataques modernos. No se trata solo de robar información, sino de prepararla con inteligencia para no ser atrapados. Entender cómo funciona esta técnica permite a las organizaciones implementar defensas más proactivas y detener los ataques antes de que causen daños irreparables.

En ciberseguridad, no basta con proteger las fronteras: también hay que vigilar los movimientos internos.
La preparación de datos para su robo puede ser la primera señal de que algo grave está a punto de ocurrir.

Temas que podrían interesarte:

Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.