¿Podría el 'Mirlo Enojado' proteger tu negocio de amenazas internas y ataques relacionados con datos?

La reciente identificación de una técnica de exfiltración de datos conocida como Data Splicing Attacks ha puesto en alerta a miles de empresas alrededor del mundo, ya que logra eludir las principales herramientas de prevención de pérdida de datos (DLP). Los atacantes pueden dividir, encriptar o codificar datos dentro de los navegadores, fragmentando archivos de tal manera que no son detectados por los sistemas de protección de extremos (EPP) ni por herramientas basadas en la red. Posteriormente, estas partes pueden ser reensambladas fuera del entorno protegido.

Al utilizar canales de comunicación alternativos como gRPC y WebRTC, así como plataformas de mensajería segura como WhatsApp y Telegram, los actores maliciosos pueden ocultar aún más sus acciones, evitando inspecciones basadas en SSL. La creciente dependencia de los navegadores como herramientas de trabajo ha aumentado la exposición a estas amenazas. Más del 60% de los datos empresariales se almacenan en plataformas en la nube accesibles mediante navegadores, lo que resalta la necesidad de un navegador seguro.

Investigaciones recientes han mostrado que las soluciones proxy incorporadas en muchos navegadores empresariales seguros no pueden acceder al contexto necesario para reconocer estas amenazas. Esto se debe a que carecen de visibilidad en las interacciones del usuario, cambios en el DOM y el contexto del navegador. Además, los sistemas de DLP en los puntos finales enfrentan dificultades, ya que dependen de APIs expuestas por el navegador que no proporcionan contexto de identidad, conciencia de extensiones ni control sobre contenido encriptado. Estas limitaciones crean un espacio ciego que los atacantes pueden aprovechar sin ser detectados, debilitando la capacidad de las empresas para defenderse contra escenarios de amenazas internas.

La urgencia de este descubrimiento también radica en la facilidad con la que estas técnicas pueden adaptarse o modificarse. Con nuevos códigos, los atacantes pueden crear variantes que amplían aún más la brecha entre las amenazas en evolución y las protecciones obsoletas. En respuesta a estas preocupaciones, se ha presentado Angry Magpie, un kit de herramientas de código abierto diseñado para replicar estos ataques. Los equipos de seguridad, equipos de pruebas y proveedores pueden usar esta herramienta para evaluar sus defensas.

Angry Magpie permite a los defensores examinar la exposición de sus sistemas en escenarios realistas, ayudando a identificar los puntos ciegos en las implementaciones actuales de incluso las mejores soluciones de DLP. Los investigadores han expresado su esperanza de que su trabajo sirva como un llamado a reconocer los significativos riesgos que los navegadores representan para la pérdida de datos.