Matriz de clasificación de incidentes

MATRIZ DE CLASIFICACIÓN DE INCIDENTES[1]
CLASE DESCRIPCION TIPO DESCRIPCIÓN
Contenido Abusivo Son incidentes que comprometen la imagen de una entidad o persona, mediante el uso de sistemas para realizar acciones que contienen aspectos prohibidos, ilícitos u ofensivos. Pornografía Infantil Es la transmisión o almacenamiento de material pornográfico infantil.
Violencia Promover contenido de odio para perseguir o incitar a la persecución de personas u organizaciones.
Acoso Sexual o

Extorsión

Conducta persistente o reiterada dirigida hacia una persona y que causa angustia emocional.

Presión o coerción ejercida contra persona o instituciones para que ejecuten una conducta contraria a su voluntad.

Spam Es la distribución de correo masivo no solicitado.
Difamación Es el acto de divulgar una acusación hacia otra persona que puede causar un daño en el honor, dignidad o reputación.
Código Malicioso Es un programa o código dañino, cuya función es afectar la confidencialidad, integridad o disponibilidad de la información. Sistema Infectado Dispositivo computacional infectado con algún Malware (Troyanos, Dealer, Rootkit, Ransomware, Exploits, Gusanos, Spyware, Adware, Servidor de Mando y Contro (C&C), entre otros, que podría afectar su correcto funcionamiento)
Distribución de Software Malicioso Uso indebido de los activos de la organización para distribuir malware.
Minería ilegal Criptomonedas Abuso de recursos de la organización para minar criptomonedas.
Recopilación de Información Consiste en recabar información de las plataformas tecnológicas para crear un perfil de la infraestructura de la organización. Escaneo de Redes (Scanning) Envío de solicitudes a un sistema con el objetivo de identificar activos y descubrir posibles vulnerabilidades, por ejemplo, escaneos a puertos, DNS, ICMP, SMTP, entre otros.
Análisis de paquetes (Sniffing) Corresponde al almacenamiento de flujo de datos y análisis, relacionados a la interceptación del tráfico de red.
Ingenieria Social Recopilación de información personal, mediante engaños, sobornos o amenazas.
Inteligencia de fuentes abiertas (OSINT) Datos recogidos de forma pública, por ejemplo redes sociales, sitios web entre otros.
Intentos de Intrusión Ataque dirigido con el objeto de explotar vulnerabilidades de sistemas y/o configuraciones con el fin de introducirse a los sistemas. Intentos de acceso Múltiples intentos de inicio de sesión, por ejemplo, ataque de fuerza bruta.
Explotación de vulnerabilidades Intentos de comprometer un sistema o interrumpir cualquier servicio explotando vulnerabilidades conocidas (CVE). Por ejemplo, XSS, SQL Injection, CSRF, SSL, entre otros.
Ataques desconocidos Ataques que utilizan vulnerabilidades desconocidas, mediante técnicas o programas.
Intrusión Es una actividad no autorizada, donde el atacante accede ilícitamente a la infraestructura informática de una organización. Compromiso de cuentas Sistema comprometido donde el atacante utiliza cuentas con o sin privilegios.
Compromiso de aplicativo Explotación de una vulnerabilidad para comprometer un software o aplicativo.
Intrusión fisica Acceso ilícito a un lugar restringido con fines maliciosos.
Amenaza a la Disponibilidad Corresponde a la degradación de los accesos a los sistemas informáticos.

La disponibilidad es una de las tres dimensiones de la seguridad de la información.

 

Ataque de denegación de servicio (DoS / DDoS) Corresponde a múltiples envíos de paquetes (solicitudes) a un servicio en red determinado en un corto período de tiempo con el objetivo de abrumar un sitio y provocar su indisponibilidad. Por ejemplo, inundación de paquetes SYS, amplificación de paquetes UDP, TCP.
Sabotaje Corresponde al daño, deterioro o interrupción intencional de un servicio, utilizando medios tecnológicos o físicos.
Interrupción Son fallas fortuitas que interrumpen, degradan o inhabilitan las funciones de un servicio.
Seguridad de contenidos Eventos relacionados con
la confidencialidad e integridad de la información. Corresponde a dos de las tres dimensiones de la seguridad de la información.
Acceso no autorizado a la información Corresponde al uso de permisos y/o credenciales obtenidas ilícitamente para acceder a servicios, recursos o activos informáticos, afectando la confidencialidad de la información.
Modificación no autorizada de la información Cualquier alteración ilícita sobre los datos de un sistema o aplicación que afectan su integridad.
Exfiltración de informacion Extracción (copia, transferencia o recopilación no autorizada) de datos ilícitos que afecta a la confidencialidad de la información.
Pérdida de Información Corresponde a una situación (robo, pérdida o fallo físico de un dispositivo de almacenamiento) en la cual se deja de poseer información.
Fraude Perjuicio patrimonial mediante la manipulación, alteración de datos o sistemas informáticos. Uso no autorizado de recursos Uso ilícito de recursos de una organización.
Derechos de Autor Copia, distribución o instalación ilícita de activos digitales, por ejemplo, software comercial u otro tipo de material protegido por derechos de autor.
Phishing Se refiere al envío de correos electrónicos que tienen apariencia legítima, pero que en realidad pretenden manipular al receptor para robar información confidencial.
Suplantación Consiste en el robo de identidad en internet para hacerse pasar por otra persona u organización con el fin de cometer actividades delictivas, tales como fraude o estafas.

[1] Esta tabla solo contempla incidentes de ciberseguridad que tienen afectación, lo que explica porque no se incluye la categoría de vulnerabilidades.

Referencia: ENISA.