¿Qué son las filtraciones de datos?
Las filtraciones de datos que afectan a sus empleados se muestran de dos maneras distintas, dependiendo de si su potencial de explotación está confirmado o no.
🆕 Filtraciones de datos con potencial de explotación confirmado
Vulnerabilidad "Credenciales de usuario válidas encontradas en una filtración de datos/MO365/Fortinet"
¿Cómo confirma Stoïk el potencial de explotación de la filtración?
Filtraciones de datos cuyo potencial de explotación está por confirmar
Comprender los resultados
¿Por qué aparece un exempleado en la pestaña Filtración de datos?
¿Por qué una alerta concierne a una estación de trabajo que no nos pertenece?
¿Por qué la fecha de notificación de una filtración no siempre corresponde a la fecha de compromiso?
¿Por qué algunas filtraciones de datos muestran una fuente desconocida?
1. 🆕 Filtraciones de datos con potencial de explotación confirmado
Estas son las filtraciones de datos más críticas, lo que significa que un atacante podría utilizarlas directamente si lograra obtenerlas. Dada su criticidad, se crea una vulnerabilidad dedicada para cada una de ellas en los resultados del Escaneo Externo de Stoïk.
1.a. 🆕 Vulnerabilidad "Credenciales de usuario válidas encontradas en una filtración de datos/MO365/Fortinet"
Nuestro Escaneo Externo le alerta si las credenciales encontradas por nuestra pestaña Filtración de datos siguen activas.
En términos concretos, las credenciales de clientes divulgadas en la Dark Web ahora se prueban automáticamente en la URL correspondiente para verificar su validez, gracias a un desarrollo interno de Stoïk que utiliza IA generativa.
Si se confirma la validez, se crea una vulnerabilidad "alta" durante el análisis del Escaneo Externo de Stoïk, instando a los usuarios a actualizar sus credenciales.
El nombre de usuario y la URL se muestran luego en Stoïk Protect (la contraseña puede compartirse previa solicitud expresa a [email protected]).
Al tratarse de una vulnerabilidad "alta", los analistas CERT de Stoïk le notificarán de forma proactiva por correo electrónico si aparece una alerta de este tipo.
1.b. ¿Cómo confirma Stoïk el potencial de explotación de la filtración?
Las filtraciones de datos probadas por Stoïk provienen principalmente de dos fuentes:
Filtraciones de bases de datos de contraseñas (Combolists): Estas bases de datos son conjuntos de credenciales (correos electrónicos, contraseñas) recuperadas de varias filtraciones pasadas y agregadas sin contexto claro. Ejemplo: [email protected] / M0t2Pa$$ / supersite.com Estas combolists no siempre revelan el sitio web exacto donde se filtraron las credenciales. Esto dificulta probar las credenciales en el servicio mencionado. En ese caso, Stoïk prueba automáticamente las credenciales en servicios críticos y ampliamente utilizados como Microsoft 365 (O365) o Fortinet VPN (si este servicio es utilizado por el asegurado). 💡 No probamos las credenciales directamente en el sitio mencionado, a menos que se conozca con certeza, como en el caso de los log stealers (ver más abajo).
Filtraciones de malware (stealers): Los stealers son malware instalados en máquinas comprometidas que recuperan las credenciales utilizadas localmente. Estas filtraciones son mucho más precisas: por lo general incluyen los siguientes tres elementos: Correo electrónico / Contraseña / URL exacta de inicio de sesión. Ejemplo: [email protected] / M0t2Pa$$ / https://supersite.com/loginpage.php Cuando la URL está claramente identificada, las credenciales se prueban directamente en el sitio correspondiente, además de en Microsoft 365 (O365) y Fortinet VPN. Esta precisión reduce en gran medida los falsos positivos y dirige eficazmente los riesgos de compromiso activo.
Resumen de las comprobaciones realizadas por Stoïk:
Combolist
Correo electrónico + Contraseña (o Sitio web)
Solo O365 + Fortinet
Registros de stealer
Correo electrónico + Contraseña + URL filtrada
URL filtrada + O365 + Fortinet
Si la URL en cuestión es Fortinet u O365, la vulnerabilidad mostrada se denomina "(...) encontrada en filtración de datos de Fortinet/Microsoft Office 365". De lo contrario, la vulnerabilidad mostrada se denomina "(...) encontrada en una filtración de datos", y la URL se especifica en los detalles de la vulnerabilidad.
Por defecto, si los resultados de las comprobaciones realizadas por Stoïk están vacíos, no se crea ninguna vulnerabilidad, pero la filtración sigue mostrándose en la pestaña "Filtración de datos".
2. Filtraciones de datos cuyo potencial de explotación está por confirmar
2.a. Comprender los resultados
Superficie Externa > Resultados > Filtraciones de datos enumera todas las filtraciones de datos detectadas entre sus empleados, tanto si su potencial de explotación ya ha sido confirmado como si no.
La fecha mostrada generalmente corresponde a cuando nuestra herramienta detectó la violación de datos, no a la fecha real de la filtración.
Al hacer clic en una filtración de datos específica, puede acceder a resultados detallados. Aquí hay dos ejemplos de cómo interpretar los resultados:
"IP" y "Contraseña": Para este ejemplo, entienda que para la dirección de correo [email protected], la contraseña en texto plano y la dirección IP se filtraron durante la filtración de datos Adobe Data Breach 2024 para el dominio my-company.com.
"Contraseña" y "Contraseña cifrada": Para este ejemplo, entienda que para la dirección de correo [email protected], la contraseña en texto plano ("password") y el hash ("contraseña cifrada") se filtraron en varios sitios web de origen desconocido, de ahí el término "combolists".
2.b. ¿Por qué aparece un exempleado en la pestaña Filtración de datos?
Si ve una alerta sobre una cuenta asociada a un empleado que ya no está en la empresa, existen varias razones lógicas para ello.
Origen: No se trata de una cuenta de Active Directory ni de una dirección de correo de la empresa que esté activamente integrada en su sistema informático, sino de una cuenta de usuario de terceros que utiliza una dirección de su dominio, por ejemplo: [email protected] registrada en un sitio externo, como https://random.saas. Este tipo de cuenta puede pertenecer a:
Un exempleado que creó una cuenta en un SaaS con su dirección laboral.
Una cuenta que sigue activa en una aplicación SaaS, cuya dirección de correo laboral sigue siendo válida.
Una cuenta externa creada sin verificación de correo electrónico, lo cual es posible en ciertas plataformas.
Motivo de la detección: La alerta la genera Stoïk porque la dirección de correo de la cuenta está vinculada a su nombre de dominio o la contraseña asociada a esta cuenta ha aparecido en una filtración de datos pública. Por lo tanto, incluso si es un exempleado o una cuenta no gestionada por su departamento de TI, esta cuenta puede:
Seguir siendo facturada a su empresa (común en suscripciones SaaS)
Tener acceso a datos internos, si no se ha revocado el acceso
Representar un riesgo de compromiso indirecto (reutilización de contraseñas, ataque de rebote)
Recomendación: En esta situación
Identificar si la cuenta sigue activa en la aplicación afectada
Revocar o desactivar la cuenta si tiene control sobre ella
Contactar al proveedor del SaaS para solicitar la eliminación si es necesario
Actualizar sus procedimientos de salida de empleados para incluir la revocación sistemática de cuentas de terceros
2.c. ¿Por qué hay una alerta para una estación de trabajo que no nos pertenece?
Aunque la posición en cuestión no le concierna directamente, la alerta es pertinente si se detecta actividad relacionada con su ámbito u organización.
Cualquier actividad inusual puede indicar: Uso no autorizado, posible compromiso, mala gestión del acceso de terceros.
Puede recibir una alerta de ciberseguridad por una estación de trabajo que no figura en su inventario de TI. Esto puede parecer sorprendente, pero hay varias explicaciones posibles para esta situación.
Dispositivo personal de un empleado
Origen: Un empleado puede, voluntariamente o por costumbre, acceder a recursos de trabajo desde un dispositivo personal (ordenador personal, tableta, etc.).
Motivo de la detección: La alerta la genera Stoïk porque esta estación de trabajo no está asegurada ni supervisada por sus equipos de TI y, por tanto, puede representar un punto de entrada vulnerable para ataques (ransomware, robo de datos).
Recomendación: En esta situación, pida a su empleado que limite este uso o que asegure su dispositivo (cifrado, antivirus, contraseña fuerte, etc.). Se recomienda encarecidamente revisar su política de uso de dispositivos personales (BYOD) si aún no lo ha hecho.
Estación de trabajo de un proveedor de servicios o subcontratista
Origen: Es posible que un proveedor de servicios (soporte informático externo, consultor, autónomo, etc.) acceda a sus datos o sistemas desde su propia estación de trabajo.
Motivo de la detección: La alerta la genera Stoïk porque involucra sus servicios o su dominio. La estación de trabajo se considera en riesgo si está comprometida o mal protegida.
Recomendación: En esta situación, compruebe si este proveedor de servicios sigue activo en la empresa. Si no, revoque su acceso. En caso contrario, asegúrese de que en su lado se apliquen buenas prácticas de seguridad.
Estación de trabajo compartida o pública (hotel, terminal, cibercafé, etc.)
Origen: En algunos casos raros, sus servicios pueden ser accedidos desde un terminal público o compartido: terminal de hotel, PC de sala de reuniones, etc.
Motivo de la detección: La alerta la genera Stoïk porque estas máquinas están altamente expuestas a malware o keyloggers. Esto se debe a que las conexiones rara vez son cifradas o privadas.
Recomendación: En esta situación, es esencial recordar a sus empleados que nunca utilicen un ordenador público para acceder a recursos críticos o, como mínimo, que usen una VPN y conexiones cifradas.
2.d. ¿Por qué la fecha de notificación de una filtración no siempre corresponde a la fecha de compromiso?
Los usuarios a menudo se preguntan por la demora entre la fecha de una filtración de datos (o contraseña robada) y la fecha de recepción de la alerta de Stoïk. La razón principal es que las contraseñas no se hacen públicas de inmediato.
De hecho, las credenciales robadas por infostealers (software malicioso capaz de extraer contraseñas de navegadores, gestores o cachés del sistema) no siempre se comparten instantáneamente en los foros o mercados que monitoreamos.
En la práctica, la información robada se vende primero en círculos privados o grupos restringidos, y solo se hace públicamente accesible después de varias semanas o incluso meses. Es entonces cuando nuestro sistema la detecta y le alerta.
2.e. ¿Por qué algunas filtraciones de datos muestran una fuente desconocida?
Origen: Puede ver filtraciones de datos aparecer en su interfaz de Stoïk Protect sin una indicación clara de su origen. En este caso, la fuente aparece como "Combolist", lo que significa que es desconocida o no verificable.
Una combolist es una compilación masiva de identificadores (direcciones de correo electrónico, contraseñas, a veces otros datos) recopilados de varias filtraciones. Estos archivos son reempaquetados por ciberdelincuentes y luego revendidos o compartidos en foros sin mencionar siempre el origen de los datos.
Motivo de la detección: La alerta la genera Stoïk porque, incluso si la fuente exacta es desconocida, el riesgo es real. De hecho, el identificador (correo electrónico + contraseña) todavía funciona en ciertos servicios, por lo que puede ser explotado para un ataque de credential stuffing o dar acceso a un SaaS utilizado en su empresa.
3. ¿Qué hacer en caso de una alerta de filtración de datos?
Cambie la contraseña de inmediato.
Si no reconoce el servicio, verifique el uso interno de la dirección de correo mencionada.
Habilite la autenticación multifactor (MFA) si aún no lo ha hecho.
Última actualización
¿Te fue útil?