Diseñamos un Sistema de Detección de Exfiltración de Red (NEDS) para detectar la exfiltración de datos que ocurre en ataques de ransomware. El NEDS opera con metadatos agregados, que son más amigables con la privacidad y permiten el análisis de grandes volúmenes de tráfico de red de alta velocidad. El NEDS agrega metadatos de múltiples sesiones secuenciales entre pares de hosts en una red, lo que captura la exfiltración mediante protocolos tanto stateful como stateless. Los metadatos agregados incluyen promedios por sesión del recuento de paquetes, entropía de solicitudes, duración y tamaño de carga útil, así como el tiempo promedio entre sesiones secuenciales y la cantidad de sesiones agregadas. El NEDS aplica una serie de modelos de autoencoder con aprendizaje no supervisado para detectar anomalías, donde cada modelo de autoencoder se enfoca en diferentes protocolos. Entrenamos los modelos de autoencoder con datos de la vida real recopilados en sensores de red en la Red Nacional de Detección operada por el Centro Nacional de Seguridad Cibernética en los Países Bajos, y configuramos el umbral de detección variando la tasa de falsos positivos. Evaluamos el rendimiento de detección inyectando exfiltración a través de diferentes canales, incluidos túneles DNS y cargas a servidores FTP, servidores web y almacenamiento en la nube. Nuestros resultados experimentales muestran que la agregación aumenta significativamente el rendimiento de detección de la exfiltración que ocurre durante períodos más largos, especialmente en los túneles DNS. Nuestro NEDS se puede aplicar para detectar la exfiltración ya sea en el análisis de datos casi en tiempo real con tasas de falsos positivos limitadas, o en datos capturados para ayudar en el análisis posterior al incidente.