Ir directamente al contenido
Español
Stoïk
  • No hay sugerencias porque el campo de búsqueda está vacío.

¿Se han filtrado los datos de mis empleados?

Las filtraciones de datos de sus colaboradores se muestran de dos maneras distintas, según que su potencial de explotación esté confirmado o no:

  1. 🆕 Filtraciones de datos con potencial de explotación confirmado
    1. ¿Qué significa "Valid user credentials found in a dataleak/MO365/Fortinet"?
    2. ¿Cómo confirma Stoïk el potencial de explotación de la filtración?
  2. Filtraciones de datos con potencial de explotación por confirmar
    1. Comprender los resultados
    2. ¿Por qué aparece un excolaborador en la pestaña Filtración de datos?
    3. ¿Por qué una alerta afecta a un equipo que no nos pertenece?
    4. ¿Por qué la fecha de notificación de una filtración no siempre coincide con la fecha de la fuga?
    5. ¿Por qué algunas filtraciones de datos muestran un origen desconocido?
  3. ¿Qué hacer en caso de alerta de fuga de datos?

    1. 🆕 Filtraciones de datos con potencial de explotación confirmado

    Son las filtraciones de datos más críticas, es decir, que un atacante podría utilizar directamente si logra obtenerlas. Debido a su criticidad, se crea una vulnerabilidad dedicada para cada una en los resultados del Escaneo Externo de Stoïk.

    1.a. 🆕 ¿Qué significa la vulnerabilidad "Valid user credentials found in a dataleak/MO365/Fortinet"?

    Nuestro Escaneo Externo le notifica si las credenciales encontradas por la pestaña Fuga de datos siguen activas.

    Concretamente, las credenciales divulgadas en la Dark Web son ahora verificadas automáticamente en la URL correspondiente gracias a un desarrollo interno de Stoïk basado en IA generativa.

    Si se confirma su validez, se crea una vulnerabilidad "alta" durante el análisis del Análisis Externo, invitando a los usuarios a actualizar sus credenciales.

    El nombre de usuario y la URL se muestran en Stoïk Protect (la contraseña puede compartirse previa solicitud a protect@stoik.io).

    CleanShot 2025-07-28 at 16.06.35

    Como vulnerabilidad "alta", los analistas del CERT de Stoïk le notificarán proactivamente por correo si aparece una alerta de este tipo.

    1.b. ¿Cómo confirma Stoïk el potencial de explotación de la fuga?

    Las filtraciones de datos verificadas por Stoïk provienen principalmente de dos fuentes:

    1. Filtraciones de bases de contraseñas (Combolists):
      Son conjuntos de credenciales (correos electrónicos, contraseñas) recopiladas de diversas filtraciones anteriores sin un contexto claro.

      Ejemplo: xavier@stoik.io / M0t2Pa$$ / supersite.com

      Estas combolists no permiten siempre identificar el sitio exacto de la fuga. Por ello, Stoïk realiza pruebas automáticas sobre servicios críticos como Microsoft 365 (O365) o VPN Fortinet (si el asegurado lo utiliza).

      💡 No probamos la credencial directamente en el sitio mencionado, salvo si se conoce con certeza como en los logs de stealers (ver abajo).

    2. Filtraciones por software malicioso (Stealers):
      Los stealers son malwares instalados en equipos comprometidos que recogen localmente las credenciales utilizadas. Estas filtraciones son más precisas y contienen generalmente: Email / Contraseña / URL exacta de conexión. 

      Ejemplo: xavier@stoik.io / M0t2Pa$$ / https://supersite.com/loginpage.php

      Cuando la URL es claramente identificada, las credenciales se prueban directamente en ese sitio, además de en Microsoft 365 y Fortinet. Esta precisión reduce los falsos positivos y permite una detección eficaz.

    Resumen:

    Tipo de fuga Datos disponibles Verificaciones por Stoïk
    Combolist Email + contraseña (o nombre sitio) Solo O365 + Fortinet
    Stealer logs Email + contraseña + URL precisa URL correspondiente + O365 + Fortinet

    Si la URL es Fortinet u O365, la vulnerabilidad será "(...) found in Fortinet/Microsoft Office 365 dataleak". Si no, se mostrará como "(...) found in a dataleak" y la URL aparecerá en los detalles.

    Por defecto, si no se obtiene un resultado concluyente, no se crea vulnerabilidad pero la fuga aparece igualmente en la pestaña "Fuga de datos".

    2. Filtraciones de datos con potencial de explotación por confirmar

    2.a. Comprender los resultados

    La pestaña Superficie Externa > Resultados > Filtraciones de datos recoge el conjunto de filtraciones de datos detectadas sobre sus colaboradores, ya sea que su potencial de explotación esté confirmado o no.

    ⚠️ La fecha indicada corresponde generalmente al momento en que nuestra herramienta detectó la filtración de datos, y no a la fecha real de la fuga.

    Al hacer clic en una filtración de datos en particular, tendrá acceso al detalle de los resultados. He aquí dos ejemplos de interpretación de resultados:

    • "IP" y "Contraseña": Para este ejemplo, significa que para la dirección de correo craig.maxwell@my-company.com, la contraseña en claro ("contraseña") y la IP se filtraron durante la fuga de datos Adobe Data Breach 2024 para el dominio my-company.com.

    • "Contraseña" y "Contraseña cifrada": Para este ejemplo, significa que para la dirección de correo emma.gaucher@my-company.com, la contraseña en claro ("contraseña") y el hash ("contraseña cifrada") se filtraron en varios sitios de fuente desconocida, de ahí el término "combolists".
      Capture d’écran 2025-08-06 à 10.24.33

    2.b. ¿Por qué aparece un excolaborador en la pestaña Fuga de datos?

    - Origen : El origen no es un AD o cuenta activa, sino una cuenta en un SaaS externo (por ejemplo, jean-michel@vuestra-empresa.com en https://random.saas). Puede tratarse de:

    • Un ex empleado que creó una cuenta con su email profesional.
    • Una cuenta activa sin revocación.
    • Una cuenta creada sin validación del email.

    - Motivo de la detección : Stoïk detecta y alerta porque la dirección de correo electrónico de la cuenta está vinculada a su nombre de dominio y la contraseña asociada a esta cuenta ha aparecido en una filtración de datos pública.

    Por lo tanto, aunque se trate de un antiguo colaborador o de una cuenta no gestionada por su sistema de información, esta cuenta puede:

    • Que siempre se le facture a su empresa (caso habitual en las suscripciones SaaS).
    • Tener acceso a datos internos, si no se ha producido ninguna revocación.
    • Representar un riesgo de compromiso indirecto (reutilización de la contraseña, ataque por rebote).

    - Recomendaciones : En esta situación

    1. Comprueba si la cuenta sigue activa en la aplicación correspondiente.
    2. Revoca o desactiva la cuenta si tienes acceso a ella.
    3. Ponte en contacto con el editor SaaS para solicitar su eliminación si es necesario.
    4. Actualiza tus procedimientos de salida de empleados para incluir la revocación sistemática de cuentas de terceros.
      2.c. ¿Por qué una alerta afecta a un equipo que no nos pertenece?

      Escenarios posibles:

      • Dispositivo personal del colaborador: puede acceder a recursos corporativos desde su PC personal.
        • Riesgo: equipo no gestionado por IT.
        • Acción: limite este uso o proteja el dispositivo (cifrado, antivirus, contraseña segura, etc.). Se recomienda revisar la política de uso de equipos personales (BYOD) si aún no lo ha hecho.
      • Dispositivo de proveedor o subcontratista: acceso externo a sus sistemas desde su propio puesto de trabajo.
        • Riesgo: si el dispositivo no está protegido, porque implica sus servicios o su dominios.
        • Acción: Compruebe si este proveedor sigue activo en la empresa. Si no es así, revoque sus accesos. De lo contrario, asegúrese de que se aplican las buenas prácticas de seguridad por su parte.
      • Equipo compartido/público: acceso desde quioscos, hoteles, etc.
        • Riesgo: alta exposición a malware y keyloggers. De hecho, las conexiones rara vez están encriptadas o son privadas.
        • Acción: recordar no usar equipos públicos sin protección adecuada (VPN y conexiones cifradas)

      Conclusión: si bien el dispositivo no pertenece a su red, la alerta es válida si se relaciona con su dominio o usuarios.

      Cualquier actividad inusual puede indicar: un uso no supervisado, un posible riesgo, una mala gestión de los accesos de terceros.

      2.d. ¿Por qué la fecha de notificación no coincide con la fecha de la fuga?

      Razones típicas:

      Es frecuente que los usuarios se pregunten por qué hay un desfase entre la fecha de una filtración de datos (o del robo de una contraseña) y la fecha de recepción de la alerta de Stoïk. Estas son las razones: 

      La contraseña no se hace pública inmediatamente

      Las credenciales robadas por infostealers (software malicioso capaz de extraer contraseñas de navegadores, gestores o cachés del sistema) no siempre se comparten instantáneamente en los foros o mercados que supervisamos.

      En la práctica, la información robada se revende primero en círculos privados o grupos restringidos, y solo se hace pública después de varias semanas o incluso meses. Es entonces cuando nuestro sistema la detecta y le avisa.

      Una verificación técnica previa limita los falsos positivos

      Recientemente hemos implementado una nueva tecnología de validación automática de credenciales comprometidas.

      En concreto, Stoïk comprueba directamente las credenciales (nombre de usuario + contraseña) que se encuentran en las bases de datos de fugas, y solo si la combinación sigue funcionando en el sitio web en cuestión enviamos una alerta. Este sistema de validación garantiza que la alerta sea relevante, incluso si la fuga es antigua.

      Leer más 👉 1.b ¿Cómo confirma Stoïk el potencial de explotación de la fuga? (Nota: esta tecnología está en despliegue progresivo, por lo tanto, es posible que algunas alertas provengan de un procesamiento más reciente, aunque la fuga sea anterior a esta actualización.).

      En resumen: 

      • Es normal que haya un desfase entre la fecha de la filtración y la alerta en el ciclo de vida de un identificador comprometido.
      • Esto no pone en duda la validez de la alerta: si se le notifica, es porque el identificador sigue siendo funcional.
      • Más vale tarde que nunca: estas filtraciones pueden exponer a su empresa a usos maliciosos prolongados, especialmente en caso de reutilización de contraseñas.

      2.e. ¿Por qué algunas filtraciones muestran origen desconocido?

      - Origen : Es posible que veas aparecer fugas de datos sin una indicación clara de su origen en tu interfaz Stoïk Protect. En este caso, la fuente se indica como «Combolist», lo que significa que es desconocida o no verificable. 

      Una combolist es una recopilación masiva de identificadores (direcciones de correo electrónico, contraseñas y, en ocasiones, otros datos) agrupados a partir de diversas fugas. Estos archivos son reempaquetados por ciberdelincuentes y luego revendidos o compartidos en foros sin mencionar siempre el origen de los datos.

      - Motivo de la detección : Stoïk genera la alerta porque, aunque se desconoce la fuente exacta, el riesgo es real. De hecho, el identificador (correo electrónico + contraseña) sigue funcionando en algunos servicios, por lo que puede utilizarse para un ataque mediante la reutilización de contraseñas (credential stuffing) o dar acceso a un SaaS utilizado en su empresa. 

      3. ¿Qué hacer en caso de alerta de fuga de datos?

      • Cambie inmediatamente la contraseña en cuestión.
      • Si no reconoce el servicio, compruebe los usos internos de la dirección de correo electrónico mencionada.
      • Active la autenticación multifactorial (MFA) si aún no lo ha hecho.