¿Qué es la salida de datos? Comparación de entrada y salida

Kevin Bogusch | Analista sénior de inteligencia de competencia de Oracle | 22 de enero de 2024

Una definición engañosamente simple de lo que es la salida de datos indica que se trata solo de "datos que salen de una red". Por supuesto, el monitoreo y control de la salida de datos nunca ha sido una cuestión sencilla. Y en nuestro mundo moderno del comercio electrónico, la infraestructura de TI alojada en la nube y la creciente amenaza de ciberataques, los profesionales de TI y los gerentes de negocios necesitan por igual una comprensión pormenorizada de la salida de datos y de los costes y riesgos de seguridad relacionados.

Los costes, por ejemplo, son una preocupación para las empresas con infraestructura de TI en la nube, ya que los proveedores de servicios de nube suelen cobrar por la salida de datos, y esos cargos pueden acumularse. Las inquietudes de seguridad relativas a la salida la de datos, por su parte, se centran en la información valiosa o sensible que puede transmitirse accidentalmente fuera de la red o que puede ser robada deliberadamente por un ciberdelincuente que busca avergonzar a una organización o retener los datos para obtener un rescate.

La dependencia de Internet y de las aplicaciones móviles hacen que la salida de datos y sus riesgos sean una parte de hacer negocios. La supervisión de estos flujos de datos es esencial para limitar las amenazas financieras y de seguridad.

¿Qué es la salida de datos?

La salida de datos hace referencia a la información que sale de una red a contenedores de almacenamiento en la nube u otras fuentes, ya sea por correo electrónico, interacciones con sitios web o transferencias de archivos. Así es como las organizaciones modernas se comunican entre sí y con los clientes. A medida que las empresas migran a infraestructuras de nube y adoptan aplicaciones de software como servicio (Software as a Service, SaaS), también consumen estos servicios a través de la salida y entrada de datos. De hecho, a menos que una organización opere una red con aislamiento de categoría militar, que no tenga absolutamente ninguna conexión más allá de sus propios límites, la información fluirá constantemente en tráfico entrante y saliente.

Antes de la llegada de la red pública de Internet y del cloud computing a principios de la década de los noventa, las redes corporativas generalmente se cerraban o estaban vinculadas solo a redes que elegía conscientemente una organización. Estos enlaces se hacían a través de líneas de red privadas dedicadas que se adquirían de operadores de telecomunicaciones. En ese momento, los riesgos que planteaba la salida de datos estaban totalmente vinculados a la seguridad, es decir, a la posibilidad de que se filtrase o robase información sensible.

Ahora que la mayoría de las redes corporativas están expuestas a Internet, esos riesgos de seguridad han aumentado exponencialmente. Además, ha surgido un nuevo riesgo relativo a los costes, ya que los proveedores de servicios de nube cobran por la salida de datos, a veces de forma poco intuitiva y sorprendente.

Siete pasos para crear una representación visual del flujo de datos, los controles de seguridad y los procedimientos implicados en el proceso de salida
Siga estos 7 pasos para crear una representación visual del flujo de datos, los controles de seguridad y los procedimientos implicados en el proceso de salida.

La salida de datos frente a la entrada de datos

El concepto tradicional de salida de datos está estrictamente relacionado con los datos que salen de una red corporativa, mientras que la entrada de datos se suele entender como los datos espontáneos que entran en una red. Cuando se envía información a la red en respuesta a una solicitud interna, los firewalls normalmente la dejan pasar sin obstáculos. Para proteger a la organización, los firewalls generalmente detienen los datos espontáneos, a menos que se hayan establecido reglas específicas en contrario.

La economía de cloud computing complica este sencillo modelo. Los proveedores de servicios de nube cobran tarifas por gigabyte por la salida de datos, pero generalmente permiten la entrada de datos sin coste alguno. Además, los servicios de nube han introducido nuevos conceptos para la salida de datos que, en la práctica, establecen más tipos de límites de red que el perímetro de red corporativo tradicional. Por ejemplo, con Amazon Web Services (AWS), el tráfico en la misma red virtual a menudo se mide y se carga al desplazarse entre las zonas de disponibilidad. Las zonas de disponibilidad hacen referencia a centros de datos en la nube que pueden estar en la misma región geográfica, pero que, por ejemplo, tienen diferentes operadores de red y proveedores de energía, por lo que es muy poco probable que fallen al mismo tiempo. Al distribuir recursos en varias zonas de disponibilidad, los proveedores de servicios de nube pueden minimizar el impacto de los fallos de hardware, los desastres naturales y las interrupciones de red en sus servicios. Sin embargo, aunque las zonas de disponibilidad son en última instancia positivas, las tarifas de salida derivadas pueden generar unos costes significativos e imprevistos, especialmente cuando una empresa migra por primera vez a la nube.

En cuanto a la supervisión y la seguridad, es importante perfilar tanto la entrada como la salida de datos. Si bien los firewalls suelen bloquear el tráfico de entrada desconocido, la creación de perfiles de tráfico puede proporcionar información útil sobre amenazas para los equipos de seguridad. Dada la naturaleza y la prevalencia de los firewalls, es habitual supervisar la entrada de datos. Sin embargo, son muchas menos las organizaciones que supervisan la salida de datos con la misma atención. El firewall y la limitación del tráfico de salida a objetivos conocidos pueden mermar el impacto de los ataques y proporcionar protección contra el malware.

Conclusiones clave

  • La salida de datos constituye un riesgo económico para los clientes de nube y un riesgo de seguridad para todas las organizaciones.
  • Las fugas de datos sensibles pueden plantear riesgos financieros y organizativos significativos.
  • La supervisión meticulosa de la salida de datos puede ayudar a gestionar y optimizar el gasto de nube al tiempo que se detectan ataques maliciosos desde el principio.
  • Los firewalls se pueden configurar para limitar el tráfico entrante y saliente a ubicaciones conocidas y de confianza.
  • Las herramientas de prevención de pérdida de datos (Data loss prevention, DLP) ayudan a identificar y clasificar los datos sensibles y a aplicar controles adicionales para evitar la salida de datos no autorizada.

Explicación de la salida de datos

La salida de datos es una constante que debe gestionarse cuidadosamente en términos de seguridad y coste. Por ejemplo, si una empresa comparte su catálogo de productos en un sitio web de cara al cliente, los datos tienen que salir de la red interna donde se aloja el catálogo y recorrer Internet para llegar al navegador donde el cliente está viendo el sitio. Tanto si una empresa comparte datos con las filiales o socios como si interactúa con los clientes a través de Internet, siempre habrá algún volumen de datos que salga de la red de la empresa.

Para las empresas que han trasladado una parte o la totalidad de sus infraestructuras de TI a la nube, cualquier movimiento de datos puede generar costes de salida de datos en la nube que dependerán de su proveedor y del diseño de sus aplicaciones.

Más allá del gasto, la salida de datos también plantea el riesgo de divulgar datos sensibles a destinatarios no autorizados o no deseados. Las organizaciones deben supervisar las actividades maliciosas de los ciberdelincuentes externos al tiempo que vigilan los ataques internos, como la exfiltración de datos por parte de los agentes internos. La protección de una organización contra estos ataques requiere adoptar un enfoque integral que incluya un diseño de red sólido, supervisión continua y arquitecturas de aplicaciones de nube correctamente configuradas. Normalmente, las organizaciones limitarán la salida de datos mediante firewalls y supervisarán el tráfico saliente para detectar anomalías o actividades maliciosas. Los grupos de seguridad de TI también pueden tomar medidas para restringir las transferencias de datos de gran volumen y bloquear ciertos destinos de salida específicos.

Para lograr una supervisión efectiva es necesario comprender en profundidad los patrones de tráfico normales y cómo difieren durante un ataque o un incidente de exfiltración de datos. También puede suponer un verdadero desafío para las organizaciones de TI. La forma más habitual de supervisar el tráfico de salida de datos es revisar y analizar los archivos de registro de los dispositivos de red en el perímetro de las redes locales o en la nube. Sin embargo, el gran volumen de tráfico de esos dispositivos hace que esta resulte una tarea ardua para los administradores. Muchas empresas utilizan herramientas de gestión de eventos e información de seguridad (SIEM) para comprender mejor las amenazas. Las herramientas SIEM suelen incluir información sobre los patrones de amenazas conocidos, el cumplimiento normativo y las actualizaciones automatizadas para adaptarse a las nuevas amenazas. Si bien la implementación de sistemas SIEM no es un proceso sencillo, hacerlo puede ayudar a una organización a comprender mejor los patrones de salida de datos, lo que permite a los equipos de seguridad identificar los ataques mucho antes.

Por ejemplo, un aumento repentino en la salida de datos podría indicar un ataque de exfiltración de datos, donde un ciberdelincuente exporta grandes cantidades de datos a un host o servicio externo. Del mismo modo, la supervisión y el control cuidadosos de los patrones de salida de datos pueden ayudar a identificar malware que ya está presente dentro de una red corporativa, ya que trata de recabar más instrucciones de su red de comandos y controles. Muchos ataques de ransomware modernos intentan exfiltrar grandes volúmenes de datos para extorsionar fondos de una organización antes de cifrar esos datos. Herramientas como DLP, sistemas de análisis de tráfico de red, como rastreadores de paquetes y análisis del comportamiento del usuario para detectar patrones anormales, pueden ayudar al departamento de TI a detectar la exfiltración. El filtrado de salida, donde el departamento de TI supervisa el tráfico saliente y bloquea el tráfico que se considera malicioso, también ayuda a mitigar estos riesgos.

Más allá de los firewalls, las organizaciones también utilizan el software DLP para protegerse contra la exfiltración de datos. Estas herramientas emplean técnicas como la categorización y el etiquetado de datos con etiquetas de sensibilidad, cifrado y auditoría para evitar que los datos sensibles salgan de la red.

Amenazas de salida de datos en la nube

Además de aumentar los costes de la nube, la salida sustancial de datos puede indicar varios tipos de amenazas, incluido un ataque de exfiltración de datos por parte de un ciberdelincuente o malware que se desplaza lateralmente dentro de una red corporativa a través de comunicaciones de subred.

  • Tasas de salida de datos no vinculadas: puede que los proveedores de servicios de nube cobren por la salida de datos una tarifa por gigabyte. Los cargos varían según el tipo de servicio de nube y la distancia de la ubicación de destino desde la red o el segmento de red de origen. Las tasas de salida de datos excesivas pueden provenir de diferentes fuentes. Las más comunes son una configuración errónea de las aplicaciones que alojan recursos con un gran tráfico de red en regiones geográficamente distantes y sistemas híbridos público-privados en los que los servicios de nube envían constantemente grandes volúmenes de datos a equipos locales.
  • Tasas de salida de servicios de almacenamiento en la nube: los servicios de almacenamiento en la nube se suelen utilizar para alojar los activos del sitio web, como imágenes o documentos, y las tasas pueden acumularse de manera sorprendentemente rápida. Estos servicios aplican dos capas de cargos de salida: un conjunto para las lecturas y escrituras en la cuenta de almacenamiento y otro si las operaciones de lectura atraviesan regiones o salen a Internet.
  • Rendimiento deficiente de las aplicaciones: las aplicaciones configuradas para enviar el tráfico de red en la nube entre regiones tendrán una elevada latencia de extremo a extremo. Si bien aparentemente no constituye un problema de seguridad ni de presupuesto, esto empeora la experiencia del usuario, lo que en última instancia podría afectar los ingresos.
  • Ataques de exfiltración de datos internos: se debe investigar cualquier información interna que intente exportar grandes volúmenes de datos corporativos de la red. Un ejemplo típico sería un representante de ventas descontento que exporta una lista de clientes de una base de datos de la compañía a una hoja de cálculo personal.
  • Ataques de exfiltración de datos de ciberdelincuentes externos: una táctica que utilizan con frecuencia los ciberdelincuentes externos es minimizar la posibilidad de detección temprana infiltrándose en una red con malware básico. Una vez dentro, el malware puede conectarse a un sitio de comandos y controles externo para descargar software y expandir su ataque o exfiltrar datos corporativos.
  • Transferencia de datos no cifrada: cuando la información sensible se transfiere sin cifrado, puede ser interceptada y explotada por los ciberdelincuentes. Esto puede producir daños significativos financieros o de reputación para una organización.
  • Problemas de residencia y cumplimiento de datos: en función del país o sector de una organización y de la sensibilidad de sus datos, la salida de datos a otras regiones podría plantear riesgos legales y de cumplimiento. Estos pueden incluir problemas de residencia de datos, ya que algunos países requieren legalmente que ciertos tipos de datos permanezcan dentro de límites geográficos específicos.

7 mejores prácticas de seguridad para la gestión de salida de datos en la nube

Las organizaciones pueden mitigar los riesgos de seguridad relacionados con la salida de datos de varias maneras; por ejemplo, con la realineación de los servicios en la nube para limitar el tráfico saliente. Muchas organizaciones utilizan las siguientes siete mejores prácticas para controlar y gestionar mejor los riesgos de seguridad de salida de datos:

  1. Utilizar un firewall para controlar el tráfico saliente: la mayoría de las organizaciones utilizan firewalls para limitar el tráfico entrante. Utilizan mucho menos sus firewalls para controlar estrictamente el tráfico saliente, incluso en las redes de servidores donde residen los datos más sensibles. Los administradores de red también deberían controlar estrictamente el tráfico saliente, lo que fortalecía tanto la supervisión como los controles de seguridad.
  2. Crear una política de salida de datos: establecer una política que limite el acceso del usuario a los servicios preaprobados, especialmente en las redes en las que se almacenan datos sensibles, limita la posibilidad de que se produzcan ataques de exfiltración de datos.
  3. Utilizar SIEM para supervisar el tráfico de red: es imposible que un administrador de red revise todo el tráfico de todos los dispositivos gestionados en una red de gran envergadura. Gracias a la automatización que impulsan las reglas establecidas por el administrador y la tecnología de machine learning e IA, una herramienta SIEM puede ayudar a identificar ataques con antelación y a proporcionar niveles adicionales de protección.
  4. Utilice DLP para categorizar, etiquetar y proteger activos de datos sensibles: al igual que SIEM, DLP también utiliza el machine learning para inspeccionar datos, comprender su contexto, confrontarlos con políticas de salida de datos consolidadas y bloquear transferencias de datos que podrían incumplir dichas políticas.
  5. Control de acceso a datos sensibles: una vez que las ubicaciones de los activos de datos más sensibles se han identificado y catalogado mediante DLP, los administradores de red pueden acotar aún más los controles de acceso para esos conjuntos de datos.
  6. Cifrado de datos sensibles: el cifrado puede proporcionar una última línea de defensa contra ataques de exfiltración de datos. Si la información se cifra en tránsito y en reposo, los datos permanecerán ilegibles si se exfiltran sin la clave de cifrado adecuada.
  7. Implementar un plan de respuesta ante incidentes: en caso de ataque o violación de datos, tener un plan de respuesta claramente definido puede acelerar el tiempo de respuesta de una organización y aumentar su eficacia general. Al igual que un plan de recuperación ante desastres, el plan de respuesta a incidentes debe ser aprobado por un ejecutivo y se debe probar regularmente a través de ejercicios teóricos para que todos entiendan su papel.

Tenga en cuenta que estas prácticas no son soluciones puntuales independientes, sino que dependen unas de otras. Por ejemplo, en el elemento de categorización de datos de DLP y en la creación de una política de salida se indicarían tanto las configuraciones de firewall como la configuración de control de acceso.

Cómo reducir los cargos de salida de datos en la nube

Los cargos por la salida de datos pueden dar algunas sorpresas que salgan caras al principio del proceso de migración a la nube de una organización, por lo que es importante supervisar los costes diarios de salida de datos en la nube para garantizar que estén dentro del presupuesto e investigar si no lo están. Todos los proveedores de nube pública admiten alertas vinculadas al gasto, por lo que los costes de salida de datos se pueden supervisar de la misma manera que el uso de CPU de una máquina virtual. Sin embargo, la supervisión es solo el primer paso para reducir el coste de la salida de datos en la nube. Estos son algunos consejos para reducir los costes de salida en las aplicaciones de nube.

  • Alojar los recursos de nube en la misma región: aunque puede parecer de sentido común, es posible que algunos servicios estén disponibles en algunas regiones de nube y no en otras, lo que puede provocar despliegues entre regiones que salgan caros.
  • Reducir el gasto de efectivo con el almacenamiento en caché: el almacenamiento de datos en cachés de memoria cercanas a la aplicación puede eliminar los tramos de ida y vuelta a las bases de datos y los servicios de almacenamiento.
  • Comprar líneas privadas dedicadas: las conexiones de red privadas directas ofrecen precios de transferencia de datos más bajos, a veces incluso una tarifa plana al mes para una salida de datos ilimitada, según el proveedor de nube.
  • Usar redes de entrega de contenido (CDN): de forma similar, las aplicaciones pueden utilizar CDN para almacenar en caché activos web, como imágenes, documentos y vídeos, más cerca de los usuarios. Además de reducir los costes de salida de datos, emplear una red CDN generalmente resulta en una mejor experiencia de navegación para los usuarios.
  • Comprimir el tráfico de red cuando sea posible: el uso de la compresión de datos, siempre que el tráfico de red viaje entre regiones o zonas de disponibilidad, también puede reducir los costes. Por ejemplo, al replicar en otra región una base de datos ocupada para que se permita la recuperación ante desastres, los costes de CPU de comprimir y descomprimir esos datos pueden ser mucho más bajos que los costes potenciales de la salida de datos.
  • Desplegar la desduplicación: en particular para los procesos de copia de seguridad, el uso de la desduplicación, junto con la compresión, puede reducir aún más el volumen de datos que se transfieren, lo que disminuye los costes.
  • Rearquitectura de aplicaciones: la revisión de las aplicaciones existentes para convertirlas en nativas de la nube puede reducir los costes de salida al mejorar la eficiencia con la que utilizan los datos.

Si bien estos cambios pueden requerir una inversión única significativa para su implementación, en última instancia, pueden reducir las facturas de nube recurrentes, lo que facilita un alto retorno del coste inicial y mejora la gestión de costes de nube. Si las tarifas de salida de datos representan una gran parte de los costes de la nube de su organización, priorizar estos cambios, en lugar de otros proyectos de ingeniería, podría aportar una ganancia neta.

Reduce los costes de salida de datos con Oracle

Los distintos proveedores de nube cobran diferentes cantidades por la salida de datos. Incluso con un único proveedor de nube, los modelos de precios de salida de datos pueden variar entre servicios individuales. La reducción de la complejidad y el coste general de la salida de datos se encontraban entre los principales aspectos que Oracle tuvo en cuenta a la hora de crear Oracle Cloud Infrastructure (OCI). Siguiendo estos principios desde un primer momento, Oracle ha podido ofrecer precios globales para varios servicios de nube y costes de salida de datos mucho más bajos que otros proveedores, incluidos Amazon Web Services (AWS) y Google Cloud.

Las tasas de salida de datos más bajas de OCI permiten a las empresas mover volúmenes significativos de datos entre regiones de nube, ya sea internamente o a sus clientes. Por ejemplo, los clientes de OCI en Norteamérica y Europa pagarían 783 USD por 100 terabytes (TB) de datos salientes a ubicaciones en la red pública de Internet, en comparación con alrededor de 8000 USD de los usuarios de AWS y Google Cloud. Los clientes que compran una línea privada dedicada de 10 gigabits por segundo de OCI FastConnect pagan una tarifa plana de 918 USD al mes por una salida de datos ilimitada; suponiendo una utilización del 50 % de esa línea (1620 TB transferidos), el coste equivalente en una línea privada de AWS Direct Connect sería de 34 020 USD.

Los precios de salida de datos de OCI son un gran diferenciador para las organizaciones que crean servicios de nube que requieren grandes cantidades de ancho de banda. Entre las aplicaciones a gran escala que aprovechan estas tarifas se incluyen la transmisión de video en directo, las videoconferencia y los juegos.

Para evaluar cuál sería el coste de la salida de datos de tu organización y otros costes de nube como cliente de Oracle Cloud, utiliza el estimador de costes de OCI.

La salida de datos sin restricciones puede suponer un riesgo financiero y de seguridad para las organizaciones. El despliegue en la nube de una aplicación nativa que no ha sido creada para la nube o que está mal diseñada puede generar costes de salida de datos incontrolados y una seguridad inadecuada que expone a las organizaciones al riesgo de exfiltración de datos y ataques de ransomware.

Por tanto, es importante restringir, fortalecer y monitorear el tráfico saliente de una red empresarial. En resumen, las organizaciones deben controlar dónde pueden viajar sus datos y buscar los patrones anómalos. Las mejores prácticas para las organizaciones de seguridad de red incluyen la implementación de un buen plan de respuesta a incidentes y el empleo de tecnologías SIEM y DLP. Además, elegir el proveedor de nube adecuado para sus requisitos y diseñar o rediseñar las aplicaciones teniendo en cuenta los costes de salida de datos puede contribuir significativamente al ROI de la nube de una organización.

La IA puede ayudar a los CIO a analizar datos para optimizar el gasto de nube y sugerir ajustes de código que permitan diseñar y minimizar la salida. Descubre ahora cómo aprovechar el poder de la inteligencia artificial para abordar el talento, la seguridad y otros desafíos.

Preguntas frecuentes sobre la salida de datos

¿Cuál es el coste de salida de datos?

Además del coste de los recursos informáticos y de almacenamiento, los proveedores de servicios de nube también miden y facturan la salida de datos. Aunque estos costes pueden variar según el proveedor de nube, normalmente se cobran por cada gigabyte de los datos que viajan entre las regiones de nube, las zonas de disponibilidad o a Internet y las redes locales. Las tarifas de salida de datos también pueden variar en función de la ubicación de destino y el proveedor de nube. Se pueden reducir mediante la compresión de datos, el aprovechamiento de las redes de entrega de contenido y la ubicación de los datos para limitar el tráfico entre regiones.

¿Qué significa "salida" en cloud computing?

La salida se define como los datos que van de una red a otra, pero el término adquiere mayor complejidad en la cloud computing. Con las máquinas virtuales y las redes, se denomina salida de datos al tráfico de red estándar entre regiones de la nube o zonas de disponibilidad. Además, los datos que viajan de la nube a las redes locales o a Internet también se miden como salida de datos.