Saltar al contenido principal

Investigación sobre Vectores de Ataque y Tipos de Ciberincidentes en España (ENS)

1. Marco español: ENS y roles

  • ENS (Esquema Nacional de Seguridad): marco obligatorio para administraciones públicas y entidades del sector público, regulado por el Real Decreto 311/2022. Establece principios, medidas de seguridad, gestión de incidentes y coordinación con CCN-CERT.
  • CCN-CERT (Centro Criptológico Nacional - CERT): publica guías y herramientas ENS, como:
    • CCN-STIC-815 (indicadores y métricas)
    • CCN-STIC-817 (gestión de ciberincidentes)
  • INCIBE-CERT: organismo de referencia para el sector privado y la ciudadanía. Mantiene la Guía Nacional de Notificación y Gestión de Ciberincidentes y su taxonomía de incidentes.

2. Taxonomía de ciberincidentes (España)

La Guía Nacional de Notificación y Gestión de Ciberincidentes define una taxonomía común, alineada con estándares internacionales, para clasificar y notificar incidentes de manera homogénea.

Principales categorías:

  • Intrusiones / compromisos (sistemas, cuentas, web, correo)
  • Malware (incluido ransomware)
  • Disponibilidad (DoS/DDoS, degradación de servicio)
  • Fuga o exfiltración de información
  • Fraude y abuso (phishing, BEC, scam, contenido abusivo)
  • Vulnerabilidades o exposición (servicios vulnerables, mala configuración)
  • Contenido / legales (distribución no autorizada, material ilícito)

El ENS remite a las guías CCN-STIC para la gestión formal de incidentes, contención y recuperación segura.

3. Vectores de ataque y su mapeo a la taxonomía nacional

Vector de ataqueTipo de incidente (Taxonomía Nacional)Ejemplo / Notas
Correo electrónico (phishing, spear-phishing, BEC, adjuntos maliciosos)Fraude/abuso, intrusión, malwarePrincipal vector en España según INCIBE.
Web / Navegación / Exploit de CMSIntrusión web, malware, disponibilidadInyecciones SQL, defacement, ataques a CMS desactualizados.
Credenciales (reutilización, fuerza bruta, RDP/VPN)Intrusión de cuenta/sistemaCredential stuffing, MFA fatigue.
Servicios expuestos / desactualizadosVulnerabilidad, exposición, intrusiónPuertos abiertos, VPN inseguras, software sin parchear.
Dispositivos removibles / cadena de suministroMalware, intrusiónUSBs infectados, ISO alteradas.
Terceros / cadena de suministro TIIntrusión, fuga, exposiciónProveedores comprometidos, dependencias alteradas.
Ataques de disponibilidad (DoS/DDoS)DisponibilidadSaturación de ancho de banda o capa aplicación.
Malware / RansomwareMalware, intrusión, fugaDescargas, macros, exploits.
Ingeniería social (teléfono, QR, vishing)Fraude, abusoFalsos soportes técnicos o QR maliciosos.
Nube mal configurada (SaaS/IaaS)Exposición, fuga de informaciónBuckets públicos, claves expuestas, IAM débil.

4. Severidad, métricas e integración ENS

  • Clasificación del impacto: basada en la confidencialidad, integridad y disponibilidad (C/I/D).
  • ENS exige coordinación con el CCN-CERT para validación y reconexión segura tras incidentes.
  • CCN-STIC-815: propone métricas clave como:
    • MTTD (Mean Time To Detect)
    • MTTC (Mean Time To Contain)
    • MTTR (Mean Time To Recover)
    • Proporción de incidentes por tipo o vector
    • Cumplimiento de medidas ENS

5. Procedimiento nacional de notificación y gestión

  1. Clasificar el incidente según la taxonomía nacional.
  2. Evaluar la severidad y el impacto.
  3. Notificar al CSIRT correspondiente:
    • CCN-CERT (sector público)
    • INCIBE-CERT (sector privado y ciudadanía)
  4. Contener y erradicar el incidente aplicando guías CCN-STIC-817.
  5. Recuperar y validar el servicio siguiendo las directrices del CCN-CERT.
  6. Registrar métricas ENS y lecciones aprendidas (CCN-STIC-815).

6. Mapeo Vector → Tipo → Controles ENS

VectorTipo ENS/TaxonomíaControles ENS recomendados
Phishing/BECFraude, intrusiónMFA, filtrado de correo, formación, gestión de identidades
Exploit CMS/WebIntrusión webParches, WAF, hardening, copias inmutables
RDP/VPNIntrusión sistemaMFA, bloqueo inteligente, segmentación
Software desactualizadoVulnerabilidad, intrusiónGestión de parches, control de cambios
USB/RemoviblesMalwareDesactivar puertos, whitelisting, EDR
DoS/DDoSDisponibilidadProtección anti-DDoS, escalado, contingencia
Nube mal configuradaExposición, fugaIAM mínimo privilegio, cifrado, posture management
Ingeniería socialFraude, abusoFormación, verificación multicanal

7. Check-list ENS para gestión de incidentes

  1. Clasificación del incidente → según Guía Nacional.
  2. Determinación de prioridad/severidad → impacto en C/I/D.
  3. Notificación oficial → CCN-CERT o INCIBE-CERT.
  4. Contención y erradicación → CCN-STIC-817.
  5. Recuperación y reconexión → validación CCN-CERT.
  6. Registro de métricas y lecciones aprendidas → CCN-STIC-815.

8. Indicadores (KPIs) recomendados ENS/CCN-STIC-815

  • MTTD (detección)
  • MTTC (contención)
  • MTTR (recuperación)
  • % incidentes por vector
  • % reconexiones validadas CCN-CERT
  • % sistemas con parches menos 30 días
  • Cobertura MFA
  • Tasa de clics en phishing simulado
  • Exposiciones en nube corregidas/mes
  • Cumplimiento de notificación en plazo

9. Recursos clave

  • Real Decreto 311/2022 (ENS)
  • Guía Nacional de Notificación y Gestión de Ciberincidentes
  • Taxonomía INCIBE-CERT
  • CCN-STIC-815 – Métricas e indicadores ENS
  • CCN-STIC-817 – Gestión operativa de incidentes ENS
  • Guía de crisis y vectores comunes (INCIBE)

Referencia: Información consolidada a partir de CCN-CERT, INCIBE, y el Real Decreto 311/2022 del ENS.