¿Qué datos recopilan los atacantes antes de exfiltrar?

Depende del objetivo. Ransomware: documentos financieros, RRHH, legal, contratos (para doble extorsión). Espionaje: propiedad intelectual, código fuente, planes estratégicos, emails de ejecutivos. Acceso financiero: credenciales bancarias, datos de tarjetas, información PII de clientes.

¿Cómo detectar que un atacante está recopilando datos?

Señales clave: acceso masivo a shares de red desde un solo host, compresión de archivos grandes en ubicaciones temporales (7z, rar, zip en %TEMP%), acceso a buzones de email vía PowerShell o EWS API, y staging de datos en un directorio central antes de exfiltrar.

¿Qué es data staging?

Es la fase donde el atacante centraliza los datos recopilados en una ubicación antes de exfiltrar. Copia archivos de múltiples shares a un solo directorio, los comprime (frecuentemente con contraseña) y los prepara para la transferencia. Detectable por creación de archivos comprimidos grandes en ubicaciones inusuales.

IntermedioMITRE ATT&CKCollectiondatosexfiltracióndetección

Collection (TA0009): Recopilando Datos de Interés

Análisis de la táctica Collection de MITRE ATT&CK (TA0009): técnicas que usan los atacantes para recopilar datos antes de exfiltrar. Acceso a shares de red, email harvesting, screen capture, clipboard data, staging y compresión.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 11

Collection es la fase donde el atacante identifica y acumula los datos que quiere robar o usar como palanca

La táctica Collection (TA0009) documenta las técnicas que los adversarios usan para recopilar datos de interés del entorno comprometido. Es la fase previa a la exfiltración y una de las últimas oportunidades de detección antes de que los datos salgan de la organización. En ataques de doble extorsión (ransomware), esta fase es crítica: los datos recopilados son la palanca de negociación.

Técnicas principales

T1005: Data from Local System

Recopilar archivos del sistema local comprometido: documentos, bases de datos, archivos de configuración, credenciales almacenadas.

Indicadores: Acceso masivo a archivos de tipos específicos (.docx, .xlsx, .pdf, .pst, .sql, .bak) desde un proceso no habitual.

T1039: Data from Network Shared Drive

Acceso a shares de red para recopilar documentos compartidos. En entornos corporativos, los shares de red contienen la mayor concentración de datos valiosos.

Objetivos típicos:

\\fileserver\Finance\          → Datos financieros
\\fileserver\HR\               → Datos de empleados (PII)
\\fileserver\Legal\            → Contratos, documentos legales
\\fileserver\Engineering\      → Código fuente, diseños
\\fileserver\Executive\        → Documentos estratégicos
\\dc\SYSVOL\                   → Group Policy, scripts

Detección:

Event 5140/5145: acceso a shares de red con patrón anómalo
DLP: alertas por volumen de acceso a archivos sensibles
Anomalía: host de usuario accediendo a shares de departamentos no relacionados

T1114: Email Collection

Acceder al correo electrónico de empleados clave para obtener información sensible.

Sub-técnica	ID	Método
Local Email Collection	T1114.001	Acceso a archivos .pst/.ost locales
Remote Email Collection	T1114.002	EWS API, MAPI, Graph API para acceder a buzones
Email Forwarding Rule	T1114.003	Crear regla de reenvío a buzón externo

Detección email forwarding: Event ID 1 de Exchange (regla de transporte) o auditoría de buzón. Alertar sobre nuevas reglas de forwarding a dominios externos.

T1560: Archive Collected Data

Comprimir datos recopilados antes de exfiltrar. La compresión reduce el volumen y frecuentemente incluye cifrado con contraseña para evitar inspección DLP.

Sub-técnica	ID	Herramienta
Archive via Utility	T1560.001	7-Zip, WinRAR, tar, gzip
Archive via Library	T1560.002	ZipFile (Python), System.IO.Compression (.NET)
Archive via Custom	T1560.003	Herramienta propia del atacante

Detección:

Sysmon Event 1: 7z.exe, rar.exe, tar con archivos de salida grandes
Sysmon Event 11: archivos .7z, .rar, .zip creados en %TEMP%, %PUBLIC%, C:\PerfLogs
DLP: archivos comprimidos con contraseña (no inspeccionables) saliendo de la red

T1074: Data Staged

Centralizar datos en una ubicación antes de exfiltrar.

Sub-técnica	Ubicación	Detección
T1074.001: Local Data Staging	C:\PerfLogs, C:\Windows\Temp, %PUBLIC%	Sysmon 11: archivos grandes en dirs temporales
T1074.002: Remote Data Staging	Share de red centralizado, cloud storage	Event 5145: escritura masiva en share

T1113: Screen Capture

Capturar pantalla del usuario para obtener información visual: dashboards, emails abiertos, documentos en pantalla.

Detección: EDR con monitoring de APIs de captura (BitBlt, PrintWindow, CopyFromScreen).

T1125: Video Capture

Acceso a la webcam. Menos frecuente en ataques corporativos, más en espionaje y stalkerware.

T1123: Audio Capture

Activación del micrófono para grabar conversaciones. Usado por spyware (Pegasus, FinFisher).

T1115: Clipboard Data

Monitorizar el portapapeles para capturar contraseñas copiadas, textos sensibles, direcciones de criptomonedas.

T1119: Automated Collection

Scripts que automatizan la recopilación: buscar archivos por extensión, tamaño y fecha de modificación, copiarlos a staging.

Ejemplo automatizado (concepto):
  Buscar *.docx, *.xlsx, *.pdf, *.pst modificados en últimos 90 días
  En shares: \\fileserver\Finance, \\fileserver\HR, \\fileserver\Legal
  Copiar a C:\PerfLogs\backup\
  Comprimir con contraseña: 7z a -pPassword123 C:\PerfLogs\data.7z C:\PerfLogs\backup\

Cadena Collection → Staging → Exfiltration

Fase 1: IDENTIFICACIÓN
  Atacante enumera shares y archivos de interés
  → Detección: acceso anómalo a shares (Event 5140/5145)

Fase 2: RECOPILACIÓN
  Copia archivos a ubicación de staging
  → Detección: volumen de datos movidos (DLP, Event 5145)

Fase 3: COMPRESIÓN
  7-Zip/WinRAR con contraseña
  → Detección: Sysmon Event 1 (7z.exe), Event 11 (archivo creado)

Fase 4: EXFILTRACIÓN
  Upload a MEGA, Dropbox, o vía C2
  → Detección: proxy/firewall (conexiones a cloud storage)

La ventana de detección más amplia está entre las fases 1 y 3: el atacante necesita tiempo para localizar, copiar y comprimir los datos.

Volúmenes típicos de exfiltración en ransomware

Grupo	Volumen medio exfiltrado	Tiempo
LockBit affiliates	100-500 GB	1-3 días
BlackCat/ALPHV	200 GB - 2 TB	2-5 días
Cl0p (mass exploitation)	10-100 GB por víctima	Horas
Conti (pre-takedown)	100 GB - 1 TB	3-7 días

Conclusión

Collection precede a la exfiltración y es una ventana de detección valiosa. El acceso masivo a shares, la creación de archivos comprimidos en ubicaciones temporales, y el staging de datos son señales detectables. DLP, monitorización de shares y Sysmon son las herramientas clave. Las siguientes tácticas, C2 y Exfiltration, cubren cómo el atacante comunica y extrae esos datos.

Fuentes y referencias

MITRE ATT&CK: Collection (TA0009)
Mandiant: "Data Theft in Ransomware Operations" (2024)
Coveware: Quarterly Ransomware Reports (volúmenes de exfiltración)
SANS: "Detecting Data Exfiltration" (whitepaper)