Saltar al contenido principal

Clasificación de Incidentes según la Guía CCN-STIC 817

La Guía CCN-STIC 817 del Esquema Nacional de Seguridad (ENS) establece una clasificación de incidentes de seguridad en 36 tipos diferentes. Estos incidentes se agrupan en categorías para facilitar su identificación, análisis y gestión.

1. Clasificación General

Los incidentes se dividen en las siguientes categorías principales:

  • 1.1. Acceso no autorizado
  • 1.2. Denegación de servicio (DoS)
  • 1.3. Malware
  • 1.4. Ingeniería social
  • 1.5. Vulnerabilidades explotadas
  • 1.6. Configuración indebida
  • 1.7. Fugas de información
  • 1.8. Otros incidentes

2. Tipos de Incidentes por Categoría

2.1. Acceso no autorizado

  1. Intrusión en sistemas o redes.
  2. Uso indebido de credenciales robadas.
  3. Escalamiento de privilegios.
  4. Acceso físico no autorizado a instalaciones.

2.2. Denegación de servicio (DoS)

  1. Ataques de denegación de servicio (DoS).
  2. Ataques distribuidos de denegación de servicio (DDoS).
  3. Interrupción de servicios esenciales por saturación de recursos.

2.3. Malware

  1. Infección por virus.
  2. Instalación de troyanos.
  3. Propagación de gusanos.
  4. Uso de ransomware.
  5. Creación de botnets.

2.4. Ingeniería social

  1. Ataques de phishing.
  2. Suplantación de identidad (spoofing).
  3. Manipulación psicológica para obtener información confidencial.

2.5. Vulnerabilidades explotadas

  1. Explotación de vulnerabilidades conocidas.
  2. Explotación de vulnerabilidades zero-day.
  3. Uso de exploits automatizados.

2.6. Configuración indebida

  1. Configuración insegura de sistemas o redes.
  2. Exposición de servicios innecesarios.
  3. Errores en la gestión de parches y actualizaciones.

2.7. Fugas de información

  1. Robo de datos sensibles.
  2. Divulgación accidental de información confidencial.
  3. Pérdida de dispositivos que contienen datos protegidos.
  4. Intercepción de comunicaciones (sniffing).

2.8. Otros incidentes

  1. Sabotaje interno.
  2. Robo de hardware.
  3. Uso indebido de recursos internos.
  4. Fraude electrónico.
  5. Actividades ilegales detectadas en sistemas.
  6. Manipulación de registros o logs.
  7. Destrucción no autorizada de información.
  8. Ataques físicos contra infraestructuras críticas.
  9. Compromiso de dispositivos IoT.
  10. Incidentes relacionados con servicios en la nube.
  11. Incidentes derivados de errores humanos.

Tabla Resumen

ClasificaciónTipo de IncidenteDescripción y Ejemplos Prácticos
Contenido abusivoSpamCorreo electrónico masivo no solicitado.
Delito de odioContenido difamatorio o discriminatorio (e.g., ciberacoso, racismo).
Pornografía infantil o contenido violentoMaterial visual inapropiado (e.g., apología de la violencia).
Contenido dañinoSistema infectadoSistema comprometido con malware (e.g., rootkit).
Servidor C&CConexión con servidor de comando y control mediante malware.
Distribución de malwareUso de recursos para distribuir malware.
Configuración de malwareRecursos que alojan configuraciones maliciosas (e.g., webinjects para troyano).
Obtención de informaciónEscaneo de redesPruebas para descubrir vulnerabilidades (e.g., escaneo de puertos, DNS).
Análisis de paquetes (sniffing)Observación y grabación de tráfico de red.
Ingeniería socialTrucos o amenazas para obtener información personal.
Intento de intrusiónExplotación de vulnerabilidadesIntentos de comprometer sistemas mediante vulnerabilidades conocidas.
Acceso con vulneración de credencialesIntentos múltiples de descifrar contraseñas.
Ataque desconocidoUso de exploits no identificados.
IntrusiónCompromiso de cuenta con privilegiosAcceso no autorizado con privilegios elevados.
Compromiso de aplicacionesExplotación de vulnerabilidades en software (e.g., inyección SQL).
DisponibilidadDoS (Denegación de servicio)Saturación de peticiones que interrumpen el servicio.
DDoS (Denegación distribuida de servicio)Ataques masivos coordinados.
SabotajeDaño físico intencionado (e.g., corte de cables).
InterrupcionesInterrupciones externas (e.g., desastres naturales).
Compromiso de informaciónAcceso no autorizadoAcceso ilegal a información sensible.
Modificación no autorizadaAlteraciones ilegales en información.
Pérdida de datosPérdida de información por fallos o robos.
FraudeUso no autorizado de recursosUso indebido de sistemas (e.g., estafas piramidales).
Derechos de autorDistribución de software sin licencia.
Suplantación (phishing)Obtención de datos personales mediante engaño.
VulnerabilidadCriptografía débilServicios con implementaciones de seguridad insuficientes.
Sistema vulnerableSistemas desactualizados o mal configurados.
OtrosOtrosIncidentes no categorizados anteriormente.
APT (Amenaza persistente avanzada)Ataques sofisticados dirigidos a organizaciones específicas.

3. Uso de la Clasificación

Esta clasificación sirve para:

  • Identificar y priorizar los incidentes según su naturaleza y nivel de impacto.
  • Determinar las medidas correctivas necesarias.
  • Reportar los incidentes al CCN-CERT cuando sea necesario.

Para una descripción más detallada de cada tipo de incidente y las directrices sobre su gestión, se recomienda consultar la Guía CCN-STIC 817.

4. Conclusión

La clasificación detallada de los 36 tipos de incidentes en la Guía CCN-STIC 817 proporciona un marco exhaustivo para la gestión de ciberincidentes en el ámbito del Esquema Nacional de Seguridad (ENS). Esta taxonomía permite a las organizaciones priorizar y responder eficazmente a los incidentes, reduciendo su impacto en los sistemas de información.