# Clasificación de las formas de clasificar

Estos son seis parámetros para clasificar un ataque.

## Clasificación de incidentes de ciberseguridad

Una vez que se ha visto la necesidad de clasificar los incidentes, el siguiente paso debería ser clasificarlos. Pero antes hay que decidir cuál va a ser la característica que va a definir esa clasificación, ya que dependiendo de dónde se ponga el foco se obtendrán diferentes taxonomías. Por ejemplo:

### Clasificación de incidentes basada en el impacto

Esta clasificación se basa en el impacto que tiene el incidente en el sistema de información (es decir, en los datos, las comunicaciones, etc.) o en la organización, ya que el impacto puede ser de tipo financiero o reputacional.

### Clasificación de incidentes basada en el método

Esta clasificación está determinada por el método o la técnica utilizada por los atacantes y que ha provocado el incidente. Estos métodos pueden ser *spam*, *phishing*, denegación de servicio, etcétera.

### Clasificación de incidentes basada en el objetivo

Esta clasificación se basa en el objetivo del ciberataque, es decir, si el ataque va dirigido a personas, empresas, países o sistemas concretos; por ejemplo, cuando va dirigido a ciertos sistemas operativos.

### Clasificación del incidente según el origen

Esta clasificación está determinada por el origen del ciberataque. En este caso, la clasificación tiene dos categorías: los incidentes internos (es decir, que se originan dentro de la organización, por ejemplo, por empleados descontentos) y la otra categoría serán los incidentes externos (los cuales son provocados por agentes externos a la organización).

### Clasificación de incidentes basada en la intención

Esta clasificación se basa en la intención que tiene el atacante. Por ejemplo, la intención puede ser obtener datos confidenciales o hacer caer una página web.

### Clasificación de incidentes basada en la finalidad

Esta clasificación está determinada por la finalidad del ataque. Por ejemplo, puede ser lucrativa para el propio atacante, como en el caso de obtener credenciales para venderlas o codificar la información de una organización con un *ransomware* para pedir un rescate. La finalidad también puede ser reivindicativa, como en el caso de que el atacante quiera exponer información corporativa de una organización que, por ejemplo, daña el medioambiente.

Es posible encontrar otras clasificaciones basadas en distintas categorías, pero es importante tener en cuenta que en su mayoría estas clasificaciones no son excluyentes. Es decir, un incidente puede ser catalogado en varias de estas taxonomías a la vez. Por ejemplo, un atacante externo a una organización (origen externo) podría lanzar un ataque de *phishing* (método) contra una persona concreta (objetivo) con la intención de obtener sus credenciales (intención) y venderlas a terceros (finalidad lucrativa).

Algunas entidades han definido su propia taxonomía adaptada a sus necesidades. En este libro se estudia la clasificación presentada por ENISA, que es la empleada por INCIBE-CERT.

La taxonomía de incidentes de ENISA (utilizada en sus informes anuales de amenazas y en recomendaciones para CSIRTs) es, en realidad, una taxonomía híbrida y práctica que combina varias dimensiones para clasificar un incidente, no solo el impacto.






# TAXONOMÍA DE ENISA

**Contenido abusivo:**
*   Correo basura (spam)
*   Contenido difamatorio o discriminatorio
*   Explotación sexual infantil / contenido sexual / contenido violento

**Código malicioso:**
*   Sistema infectado
*   Servidor C2
*   Distribución de malware
*   Configuración de malware

**Recopilación de información:**
*   Escaneo de redes (scanning)
*   Análisis de paquetes (sniffing)
*   Ingeniería social

**Intento de intrusión:**
*   Explotación de vulnerabilidades conocidas
*   Intentos de acceso
*   Firma de ataque desconocida

**Intrusión:**
*   Compromiso de cuenta con privilegios
*   Compromiso de cuenta sin privilegios
*   Compromiso de aplicación
*   Compromiso del sistema
*   Robo

**Disponibilidad:**
*   Denegación de servicio (DoS)
*   Denegación de servicio distribuida (DDoS)
*   Mala configuración
*   Interrupción
*   Sabotaje

**Compromiso de la información:**
*   Acceso no autorizado a la información
*   Acceso no autorizado a la información
*   Modificación no autorizada de información
*   Pérdida de datos
*   Fuga de información confidencial

**Fraude:**
*   Uso de recursos para fines no autorizados
*   Derechos de autor
*   Suplantación de identidad
*   Phishing

**Vulnerabilidad:**
*   Criptografía débil
*   Amplificador DDoS
*   Servicios accesibles potencialmente no deseados
*   Revelación de información
*   Sistema vulnerable

**Otros:**
*   Indeterminados


Puedes encontrarla en forma de tabla aquí
https://github.com/flosada/RSITaxonomy_ES/blob/master/humanv1.md

Puedes ver que la guía nacional de notificación y gestión de ciberincidentes  sigue esa taxonomía.
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_nacional_notificacion_gestion_ciberincidentes.pdf
Sección 5. Página 14 y siguientes.