Tipos de incidentes de seguridad de la información y sus causas🖥️

Un 👉incidente de seguridad de la información puede ser intencionado o accidental (por ejemplo, debido a un error humano o a un fenómeno natural) y puede ser causado tanto por medios técnicos como no técnicos. Las consecuencias pueden ser eventos como la divulgación o modificación no autorizada de la información, su destrucción u otros eventos que la hagan inaccesible, o el daño o robo de los activos de la organización. No se pueden investigar los incidentes de seguridad de la información que no han sido notificados pero que han sido identificados como tales ni se pueden aplicar medidas de protección para evitar que se repitan.

Denegación de servicio

La denegación de servicio constituye una amplia categoría de incidentes de seguridad de la información que tienen una cosa en común. Estos incidentes de seguridad de la información tienen como resultado la incapacidad de los sistemas, servicios o redes para seguir funcionando con su rendimiento anterior, la mayoría de las veces con una denegación total de acceso a los usuarios autorizados.

Los incidentes de seguridad de la información relacionados con la denegación de servicio creada por medios técnicos son de dos tipos básicos: destrucción de recursos y agotamiento de recursos.

Entre los ejemplos más comunes de este tipo de incidentes de denegación de servicio" de seguridad de la información técnica intencionada se encuentran los siguientes:

• Explorar las direcciones de difusión de la red para llenar completamente el ancho de banda de la red con el tráfico de mensajes de respuesta.
• Enviar datos en un formato no deseado a un sistema, servicio o red en un intento de perturbar o interrumpir su funcionamiento normal.
• Abrir simultáneamente varias sesiones con un determinado sistema, servicio o red para intentar agotar sus recursos (es decir, ralentizarlos, bloquearlos o interrumpirlos).

En algunos casos, los incidentes de denegación de servicio de la seguridad de la información técnica pueden producirse de forma accidental, como resultado de un error de configuración por parte de un operador o de la incompatibilidad de un software de aplicación, mientras que otros pueden ser intencionados.

A veces, los incidentes de denegación de servicio de seguridad de la información técnica se inician deliberadamente para interrumpir los sistemas, los servicios y el rendimiento de la red, mientras que otros son simplemente subproductos de otras actividades maliciosas. En este sentido, algunas de las técnicas de escaneo e identificación encubiertas más habituales pueden provocar la destrucción completa de sistemas o servicios heredados o mal configurados cuando se escanean.

Hay que tener en cuenta que muchos incidentes técnicos de denegación de servicio deliberados suelen iniciarse de forma anónima (es decir, se desconoce el origen del ataque) porque el atacante no suele tener información sobre la red o el sistema atacado.

Factores que causan incidentes de denegación de servicio

Los incidentes de denegación de servicio de la seguridad de la información creados por medios no técnicos y que provocan la pérdida de información, servicio y/o dispositivos de procesamiento de la información pueden ser causados, por los siguientes factores:

• Las violaciones de la seguridad física que resultan en el robo, el daño intencional o la destrucción del equipo.
• Daños accidentales en el hardware y/o en su ubicación a causa de un incendio o una inundación.
• Condiciones ambientales extremas, como las altas temperaturas (causadas por un fallo del aire acondicionado).
• Mal funcionamiento o sobrecarga del sistema.
• Cambios incontrolados en el sistema.
• Mal funcionamiento del software o del hardware.

Recogida de información

A grandes rasgos, los incidentes de seguridad de la información de recopilación de información implican actividades relacionadas con la identificación de posibles objetivos de ataque y la obtención de información sobre los servicios que se ejecutan en los objetivos de ataque identificados. Estos incidentes de seguridad de la información implican un reconocimiento para establecer:

• La existencia del objetivo, la obtención de información sobre la topología de la red circundante y con quién se suele asociar el objetivo al compartir información;
• Posibles vulnerabilidades en el objetivo o en su entorno de red inmediato que podrían ser explotadas.

Entre los ejemplos más habituales de ataques destinados a recopilar información por medios técnicos se encuentran los siguientes:

• Resetear los registros DNS (sistema de nombres de dominio) para el dominio de Internet de destino (transferencia de zona DNS).
• Enviar solicitudes de prueba a direcciones de red aleatorias para encontrar sistemas en funcionamiento.
• Explorar el sistema para identificar (por ejemplo, mediante la suma de comprobación del archivo) el sistema operativo del host.
• Escanear los puertos de red disponibles para los protocolos de transferencia de archivos al sistema para identificar los servicios pertinentes (por ejemplo, correo electrónico, FTP, red, etc.) y las versiones de software para esos servicios.
• Analizar uno o más servicios con vulnerabilidades conocidas en un rango de direcciones de red (escaneo horizontal).

A veces, la recogida de información técnica se extiende al acceso no autorizado si, por ejemplo, un atacante intenta obtener un acceso no autorizado mientras busca una vulnerabilidad. Por lo general, esto se hace mediante herramientas de hacking automatizadas que no sólo buscan la vulnerabilidad, sino que también intentan automáticamente explotar los sistemas, servicios y/o redes vulnerables.

Factores que causan incidentes en la recogida de información

Los incidentes de recogida de información creados por medios no técnicos dan lugar a:

• Divulgación o modificación directa o indirecta de la información.
• Sustracción de la propiedad intelectual almacenada electrónicamente.
• Incumplimiento de la obligación de rendir cuentas, por ejemplo, en el registro de cuentas.
• Uso indebido de los sistemas de información (por ejemplo, en violación de la ley o de la política de la organización).

Los incidentes pueden ser causados, por los siguientes factores:

• Violaciones de la seguridad física que dan lugar a un acceso no autorizado a la información y la sustracción de dispositivos de almacenamiento de datos importantes, como las claves de cifrado.
• Fallos y/o desconfiguración de los sistemas operativos debido a cambios incontrolados en el sistema, o fallos de software o hardware que den lugar a un acceso no autorizado a la información por parte del personal de la organización o de personas ajenas a la misma.

Acceso no autorizado

El acceso no autorizado como tipo de incidente incluye incidentes no incluidos en los dos primeros tipos. Principalmente, este tipo de incidentes consiste en intentos no autorizados de acceder al sistema o hacer un uso indebido del sistema, servicio o red. En este sentido, algunos ejemplos de acceso no autorizado a través de medios técnicos son:

• Intento de recuperación de archivos con contraseña.
• Ataques de desbordamiento de búfer para obtener acceso privilegiado (por ejemplo, a nivel de administrador del sistema) a la red.
• La explotación de las vulnerabilidades del protocolo para interceptar Conexiones o enrutar falsamente las conexiones de red legítimas.
• Tratar de ampliar los privilegios a los recursos o la información más allá de los que tiene un usuario o administrador legítimo.

Factores que causan incidentes de acceso no autorizado

Los incidentes de acceso no autorizado creados por medios no técnicos que dan lugar a la divulgación directa o indirecta, o a la modificación de la información, a la violación de la responsabilidad o al uso indebido de los sistemas de información pueden ser causados por lo siguiente:

• Destrucción de los dispositivos de protección física con el posterior acceso no autorizado a la información.
• Fallo y/o desconfiguración del sistema operativo debido a cambios incontrolados del sistema o a un inadecuado funcionamiento del software o del hardware.

¿Quiere saber más sobre la seguridad de la información? Revise nuestro Máster en Dirección de Sistemas y Tecnologías de la Información