Taxonomía Única Incidentes Cibernéticos - TUIC

FEBRERO DE 2020
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 2 de 19

Tabla de Contenido
1. Introducción...............................................................................................................................3
2. Términos y Definiciones..........................................................................................................4
3. Taxonomía Única...................................................................................................................11
3.1. Elementos de un Incidente................................................................................................12
3.2. Categorías............................................................................................................................14
4. Anexo.......................................................................................................................................18
5. HISTORIAL DE CAMBIOS...................................................................................................19
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 3 de 19

1. Introducción

La respuesta a incidentes de seguridad se ha convertido en un componente importante

de los programas de tecnología de la información (TI). Los ataques relacionados con la
ciberseguridad se han vuelto no solo más numerosos y diversos, sino también más
dañinos y disruptivos. Con frecuencia surgen nuevos tipos de incidentes relacionados
con la seguridad. Las actividades preventivas basadas en los resultados de las
evaluaciones de riesgo pueden reducir el número de incidentes, pero no todos los
incidentes pueden ser prevenidos.

En los últimos años se han publicado varias taxonomías sobre la clasificación de

incidentes de seguridad. Diferentes iniciativas dieron como resultado taxonomías nuevas
o modificadas, como la “Common Taxonomy for (LE) Law Enforcement and CSIRTs”,
que se creó para simplificar la cooperación entre CSIRT y Law Enforcement Association
(LEA por sus siglas en inglés). Esta taxonomía fue el resultado de iniciativas de
colaboración como el Taller anual ENISA / EC3 que involucró a varios CSIRT, LEA,
ENISA y EC3. Otros ejemplos incluyen la taxonomía eCSIRT.net que se desarrolló en
2003, y la taxonomía mkVI eCSIRT.net que es una adaptación de la taxonomía original
de eCSIRT.net.

Con el propósito de adoptar en Colombia una taxonomía que facilite la clasificación y el

intercambio de información, la SFC con el apoyo de las entidades del modelo
nacional de ciberseguridad (ColCERT, CCOCI y C4), Asobancaria y la participación
de algunas entidades vigiladas, definieron la taxonomía única para el reporte de
incidentes cibernéticos con el objetivo de tener un lenguaje estandarizado y comprensible
para organismos nacionales e internacionales. Para su construcción se consultaron,
entre otras, las relacionadas en el numeral 4 de este documento, a partir de las cuales se
construyó la que se presenta en este documento, que deberá ser utilizada por las
entidades que reporten sus incidentes a la Superintendencia Financiera de Colombia, al
CSIRT financiero y a las entidades que hacen parte del modelo nacional de
ciberseguridad y ciberdefensa. Una adecuada capacidad de respuesta a incidentes
ayuda a detectarlos rápidamente, minimizar pérdidas y destrucción, mitigar las
debilidades que se explotaron y restaurar los servicios de TI.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 4 de 19

2. Términos y Definiciones

Para estandarizar los conceptos y delimitar el alcance de los reportes a realizar, se

consideran las siguientes definiciones:

Adware: Son tipos de virus que se instalan en el sistema operativo. Tiene como función
desplegar avisos publicitarios a través de ventanas emergentes del navegador.

Amenaza: Cualquier elemento capaz de aprovechar las fallas de un sistema de

seguridad de información (puntos débiles) para causar pérdidas o daños a los activos de
una organización.

APT (Advanced Persistent Threat): Conjunto de procesos informáticos sigilosos y

continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad
informática de una entidad específica.

Autenticación: Garantizar que quién solicita un acceso es quién dice ser.

Autenticación de Factor Único: Método o procedimiento que se usa para realizar la
verificación de que alguien es quien dice ser basado en una sola verificación. El ejemplo
más popular es usuario y su contraseña.

Autenticación de Múltiples Factores (AMF): Es un método de control de acceso

informático en el que a un usuario se le concede acceso al sistema solo después de que
presente dos o más pruebas diferentes de que es quien dice ser.

Autorización: Permitir que algo o alguien acceda solamente a lo que le es permitido.

Backdoor: Software o tipo de virus que se usan para obtener acceso a una red o
sistema mediante un bypass a todas las políticas de seguridad de la organización.

BYOD (Bring Your Own Device): Es una política empresarial consistente en que los
empleados lleven sus propios dispositivos personales (portátiles, tabletas, móviles, entre
otros) a su lugar de trabajo para tener acceso a recursos de la empresa tales como
correos electrónicos, bases de datos y archivos en servidores, así como datos y
aplicaciones personales.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 5 de 19

Ciberamenaza (o amenaza cibernética): Aparición de una situación potencial o actual

donde un agente tiene la capacidad de generar un ciberataque.

Ciberespacio: Corresponde a un ambiente resultante de la interacción de personas,

software y servicios en Internet, soportado en dispositivos tecnológicos y redes
interconectadas a la red mundial, propiedad de múltiples dueños con diferentes requisitos
operativos y regulatorios, que por lo tanto no alcanzan a ser cubiertos por las medidas de
seguridad adoptados por las organizaciones conectadas a la red. La ciberseguridad se
enfoca principalmente en la información en formato digital y los sistemas interconectados
que la procesan, almacenan o transmiten.

Ciberiesgo (o riesgo cibernético): Probabilidad de que una ciberamenza sea explotada

atacando un punto débil, causando pérdidas o daños a los activos e impactando los
objetivos de la organización. Se asocia a la explotación de una ciberamenaza.

Ciberseguridad: Es el conjunto de políticas, conceptos de seguridad, recursos, controles

de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y
desarrollo, formación, buenas prácticas, seguros y tecnologías que pueden utilizarse
buscando la disponibilidad, integridad, autenticación, confidencialidad y no repudio, con
el fin de proteger a los usuarios y los activos de la organización en el ciberespacio.

Confidencialidad: Propiedad de la información de no colocar a disposición o ser

revelada a individuos, entidades o procesos no autorizados.
Control Compensatorio: Control que permite proporcionar un nivel de seguridad similar (o
superior) al del control original y se emplea bajo circunstancias excepcionales.

Control Correctivo: Control que pretende corregir las consecuencias de la

materialización de un riesgo.

Control Detectivo: Control que pretende detectar la materialización de un riesgo.

Control Disuasivo: Control que pretende reducir la probabilidad de materialización de un

riesgo.

Control o Contramedida: Conjunto de disposiciones establecidas por la organización

para mitigar los riesgos que afecten a la entidad.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 6 de 19

Control Preventivo: Control que pretende prevenir la materialización de un riesgo.

DDoS (Distribuid Denial of Service): Es un ataque DoS que se realiza de manera

distribuida. Se tienen múltiples orígenes del ataque hacia un mismo objetivo.

Disponibilidad: Asegurar que un elemento, dispositivo o información sea accesible en el

momento requerido.

DLP (Data Loss Prevention): La prevención de pérdida de datos (DLP) es una

estrategia para asegurar que los usuarios finales no envíen información sensible o crítica
fuera de la red de la entidad. El término también se utiliza para describir productos de
software que ayudan a un administrador de red a controlar qué datos pueden transferir
los usuarios finales.

DoS (Denial of Service): También llamado ataque DoS (por su sigla en inglés), es un
ataque a un sistema de computadoras o red que causa que un servicio o recurso sea
inaccesible a los usuarios legítimos.

Evento de Seguridad: Presencia identificada de una condición de un sistema, servicio o

red, que indica una posible violación de la política de seguridad de la información o la
falla de controles, o una situación desconocida previamente que puede afectar la
seguridad.

Exploit: Hace referencia a una pieza de código o software que se aprovecha de errores
o vulnerabilidades de aplicaciones mal elaboradas. Generalmente se utilizan para
realizar escaladas de privilegios o negaciones de servicio.

Firewall: Dispositivo de red que tiene como propósito principal el control del acceso
desde o hacia una red protegida.

Flujo de Datos: Descripción de como la información o datos se almacena, transmite o

produce. Emplea símbolos definidos, como rectángulos, círculos y flechas, además de
etiquetas de texto breves, para mostrar las entradas y salidas de datos, los puntos de
almacenamiento y las rutas entre cada destino.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 7 de 19

Funcionalidad Mínima: Principio de un dispositivo o sistema con un propósito especial,

para ello es necesario establecerlo y determinar cuales son las funciones básicas que
debe tener.

Hardening: Es el proceso de asegurar un sistema reduciendo sus vulnerabilidades o

agujeros de seguridad, a los que se está más propenso entre más funciones desempeña;
en principio un sistema con una única función es más seguro que uno con muchos
propósitos.

Hash: Son algoritmos criptográficos de una vía que crean, a partir de una entrada (ya
sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de
longitud normalmente fija que representa un resumen identificativo de toda la información
de entrada.

HIDS (Host Intrusion Detection System): IDS instalado y configurado en una máquina
específica. Generalmente puede reconocerse como un agente IDS, un software instalado
para la detección de intrusiones.
HIPS (Host Intrusion Prevention System): IPS instalado y configurado en una máquina
específica. Generalmente puede reconocerse como un agente IPS, un software instalado
para la prevención de intrusiones.

IDS (Intrusion Detection System): Sistemas o dispositivos que se encargan de detectar

accesos no autorizados a la red o a un sistema determinado.

Incidente de Seguridad: Materialización de un evento o serie de eventos de seguridad

de la información no deseados o inesperados, que tienen una probabilidad significativa
de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Información en Reposo: Se refieren a datos guardados en dispositivos de

almacenamiento persistente (p.e. bases de datos, almacenes de datos, hojas de cálculo,
archivos, cintas, copias de seguridad externas, dispositivos móviles, discos duros, entre
otros).

Información en Tránsito: Información que fluye a través de la red pública o que no es

de confianza, como Internet y los datos que viajan en los confines de una red privada,
como una red de área local (LAN) corporativa o empresarial.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 8 de 19

Información en Uso: Hace referencia a datos activos que se almacenan en un estado

digital no persistente, típicamente en la memoria de acceso aleatorio (RAM), las
memorias caché de la CPU o los registros de la CPU.

Infraestructura Crítica: Aquellas instalaciones, redes, servicios y equipos físicos y de

tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en
la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz
funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Se
puede considerar también aquellas que soportan el cumplimiento de los objetivos de
negocio.
Infraestructura Tecnológica: Es el conjunto de hardware y software sobre el que se
basan los diferentes servicios que la entidad necesita tener en funcionamiento para
poder llevar a cabo toda su actividad en función de los objetivos del negocio.

Ingeniería Social: Es la práctica de obtener información confidencial a través de la

manipulación de usuarios legítimos.

Integridad: Asegurar que un elemento, dispositvo o información no haya sido cambiad@

en su manipulación. Puede asociarse a que sea la misma desde el origen hasta su
destino en un caso de transporte o transmisión.

IoT (Internet of Things): Concepto que se refiere a la interconexión digital de objetos

cotidianos con Internet.3 Alternativamente, Internet de las cosas es la conexión de
Internet con más “cosas u objetos” que personas.

IPS (Intrusion Prevention System): Hardware o software que posee la capacidad de

detectar ataques conocidos y nuevos (IDS), y prevenir que estos ataques sean exitosos
(Firewall).

Malware: Programa malicioso o programa maligno, también llamado badware, código

maligno, software malicioso, software dañino o software malintencionado, es un tipo de
software que tiene como objetivo infiltrarse o dañar una computadora o sistema de
información.

NIDS (Network Intrusion Detection System): Dispositivo de red que cumple con la
detección de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 9 de 19

NIPS (Network Intrusion Prevention System): Dispositivo de red que cumple con la
prevención de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.

No Repudiación: Garantizar que quién genere un evento o acción válido o inválido, no

pueda retractarse del mismo.
Observancia: Verificar que el funcionamiento (en este caso de ciberseguridad o
seguridad de la información) se haga de manera adecuada.

Phishing: Modalidad de estafa diseñada con la finalidad de adquirir información de

manera fraudulenta. Es la modalidad de "pescar" víctimas y hace uso de acciones como
el spoofing.

Propiedad AAA (Authentication, Authorization, y Accounting): Como primer proceso,

la autenticación proporciona una forma de identificar a un usuario, normalmente haciendo
que el usuario ingrese un nombre de usuario válido y una contraseña válida antes de que
se otorgue el acceso. El proceso de autenticación se basa en que cada usuario tenga un
conjunto único de criterios para obtener acceso. El servidor AAA compara las
credenciales de autenticación de un usuario con otras credenciales de usuario
almacenadas en una base de datos. Si las credenciales coinciden, el usuario tiene
acceso a la red. Si las credenciales están en desacuerdo, la autenticación falla y se niega
el acceso a la red.

Después de la autenticación, un usuario debe obtener autorización para realizar ciertas

tareas. Después de iniciar sesión en un sistema, por ejemplo, el usuario puede intentar
emitir comandos. El proceso de autorización determina si el usuario tiene la autoridad
para emitir dichos comandos. En pocas palabras, la autorización es el proceso de aplicar
políticas: determinar qué tipos o cualidades de actividades, recursos o servicios se
permiten a un usuario. Usualmente, la autorización ocurre dentro del contexto de
autenticación. Una vez que haya autenticado a un usuario, es posible que esté
autorizado para diferentes tipos de acceso o actividad.

La auditabilidad, mide los recursos que consume un usuario durante el acceso. Esto
puede incluir la cantidad de tiempo del sistema o la cantidad de datos que un usuario ha
enviado y / o recibido durante una sesión. La auditabilidad se lleva a cabo mediante el
registro de las estadísticas de la sesión y la información de uso, y se utiliza para controlar
la autorización, la utilización de recursos y las actividades de planificación de la
capacidad.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 10 de 19

Riesgo: Probabilidad de que las amenazas exploten los puntos débiles, causando
pérdidas o daños a los activos e impactando los objetivos de la organización.

Seguridad de la Información: Es el conjunto de políticas, estrategias, metodologías,

recursos, soluciones informáticas, prácticas y competencias para preservar la
confidencialidad, integridad y disponibilidad de la información que se almacene,
reproduzca o procese en los sistemas de información de la entidad.

Seguridad Física: Conjunto de mecanismos y acciones que buscan la detección y

prevención de riesgos, con el fin de proteger algún recurso o bien material. Se enfoca en
los accesos físicos y tangibles.

SIEM (Security Information and Event Management): Sistema de información que

proporciona análisis en tiempo real de las alertas de seguridad generadas por las
aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas de
centralización de logs.

Sistema de Información: Es un conjunto de elementos orientados al tratamiento y

administración de datos e información, organizados para cubrir una necesidad u objetivo.

Smishing: Tipo de delito o actividad criminal a base de técnicas de ingeniería social con
mensajes de texto dirigidos a los usuarios de telefonía móvil.

SOC (Security Operations Center): Entidad o dependencia, donde los sistemas de

información empresarial (sitios web, aplicaciones, bases de datos, centros de datos,
servidores, redes, escritorios y otros dispositivos) son monitoreados, evaluados y
defendidos.

Software Malicioso: Software diseñado con intención maliciosa que contiene funciones
o capacidades que puedan causar daño directa o indirectamente al usuario y / o al
sistema informático del usuario.

Spam: También conocido como correo basura y mensaje basura, hacen referencia a los
mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo),
habitualmente de tipo publicitario, generalmente son enviados en grandes cantidades
(incluso masivas) que perjudican de alguna o varias maneras al receptor.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 11 de 19

Spoofing: Hace referencia a la acción de suplantación. Se puede asosciar a los terminos

como Web Spoofing (Suplantación de sitios Web), Email Spoofing (Suplantación de
Correo electrónico) o Identity Spoofing (Suplantación de Identidad).

Spyware: Tipo de código malicioso que resulta potencialmente peligroso cuando se

instala en un equipo debido a la capacidad de recopilar información sobre los usuarios
que trabajan sobre la máquina infectada.

Troyano: Son aplicaciones o tipo de virus que esconden en su interior código malicioso
bajo la apariencia de ser herramientas útiles. Pretenden permitir acceso no autorizado a
los dispositivos atacados (estación de trabajo, servidor).

Vishing: Proviene de la unión de dos palabras en inglés (voice y phising), se trata de un

ciberdelito que ofrece a la víctima un número de teléfono al cual comunicarse con el
propósito de obtener información confidencial, como son datos personales o financieros.

VPN (Virtual Private Network): Es una tecnología de red de computadoras que permite
una extensión segura de la red de área local (LAN) sobre una red pública o no controlada
como Internet.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una
amenaza. Se tienen en cuenta todas aquellas amenazas que surgen por la interacción de
los sistemas en el ciberespacio. Punto en el cual un recurso es susceptible de ataque.

WAF (Web Application Firewall): Es un dispositivo hardware o software que permite

proteger los servidores de aplicaciones web de determinados ataques específicos en
Internet.

Worm: Tipo de virus que no se adhiere a los archivos o se instala, sino que reside en la
memoria del sistema, desde allí se auto replica y se transporta a través de la red,
infectando rápidamente otras máquinas.

3. Taxonomía Única

Los incidentes de seguridad se pueden clasificar de diferentes maneras y no siempre es

fácil determinar cuál es la mejor forma de hacerlo. Las organizaciones que definen una
taxonomía generalmente son impulsadas por múltiples necesidades, y dado que
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 12 de 19

los CSIRT tienen diferentes expectativas, los equipos a menudo terminan

desarrollando sus propias clasificaciones de incidentes para uso interno. De
hecho, la taxonomía conocida como "Common Taxonomy for LE and CSIRTs" es en
sí misma una adaptación de la taxonomía CERT.PT, que es a su vez una adaptación de
la taxonomía mkVI de eCSIRT.net.

Una de las principales ventajas de la “Common Taxonomy for LE and CSIRTs” es que se
ha ampliado para contemplar las clasificaciones de incidentes en armonía con el
convenio de Budapest.
Además, podría ayudar a los responsables de la toma de decisiones ofreciendo un punto
de referencia único para discutir y redactar políticas relevantes, como la estrategia de
seguridad cibernética de Colombia.

De otra parte, la SFC expidió la Circular Externa 007 de 2018 que fija los requisitos
mínimos para la gestión de la seguridad de la información y ciberseguridad que establece
en el numeral 3.7 la obligación a las entidades vigiladas de contar con una estrategia de
comunicación e información con los organismos del modelo nacional de gestión de
incidentes y la Superintendencia sobre los incidentes cibernéticos significativos.
Por lo tanto, para dar cumplimiento al requisito señalado y contar con un estándar que
facilite la comunicación entre las partes, el COLCERT, la SFC y la Asobancaria
realizaron sesiones de trabajo donde analizaron las taxonomías relacionadas en el
Anexo a partir de lo cual se define la taxonomía que se considera más apropiada
para el sector financiero, denominada TUIC (Taxonomía Única de Incidentes
Cibernéticos).

La siguiente taxonomía entrega los lineamientos básicos necesarios para el reporte de

incidentes cibernéticos, ofreciendo una estandarización y lenguaje común en el proceso
de identificación. Está compuesta de cinco (5) elementos y la clasificación en nueve
categorías diferentes que se explican a continuación:

3.1. Elementos de un Incidente

Es importante la identificación de los elementos involucrados en la materialización de un

incidente cibernético, debido a que estos son un factor determinante a la hora de
clasificarlo. Si bien es posible que inicialmente no se puedan identificar todos los
elementos de manera inmediata, ello se deberá realizar durante la gestión del incidente.
Los cinco (5) elementos que deben identificar son:
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 13 de 19

Considerado como el elemento causante

1. Agentes de del incidente. Se le atribuyen las acciones
Amenaza que llevan a la materialización. Ellos son:
 Kiddie
 Hacker – Ciberpunk
 Hacker veterano (Old-timer)
 Guerrero de código (code warrior)
 Ciber ladrón
 Ciber vendedor
 Empleado insatisfecho
 Exempleado
 Ciberacosador
 Estafador
 Crimen organizado
 Combatiente

Elementos utilizados por los agentes de

2. Herramientas amenaza para materializar un incidente.
Para su identificación se deben considerar
las acciones que se realizaron.
Pueden existir un sin número de
herramientas, pero es posible agruparlas
en definiciones generales en sus
accionares. Ellas son:
 Herramientas físicas
 Scripts
 Agentes autónomos
 Herramienta distribuida
 Desconocida

3. Tácticas y Se definen como el actuar de los agentes

Técnicas de amenaza para llegar a la
materialización del incidente. Este
elemento define gran parte de la
clasificación del incidente dentro de la
taxonomía. Se debe identificar y reportar la
táctica y la técnica haciendo uso del
framework de MITRE denominado
ATT&CK y que se encuentra en el
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 14 de 19

siguiente link:
https://attack.mitre.org/matrices/enterprise/

4. Activos A qué elemento fue dirigido el ataque que

concluyó con la materialización del
incidente. No se tiene una lista definida,
pero es posible identificarlo como:
 Servicio
 Proceso
 Información
 Componente de TI
 Estación de Trabajo
 Red
 Otro

5. Propósito Es posible que los agentes de amenaza

tengan un fin a cumplir. Este elemento
podrá brindar una clara identificación del
incidente. Aunque algunas veces no sea
fácil determinarlo de manera inmediata,
este se puede identificar durante la
gestión del incidente. Se tienen como
propósitos los siguientes:
 Desafío
 Asuntos políticos
 Pánico
 Ganancia financiera
 Daño
 Espionaje

3.2. Categorías

Se definen nueve categorías las cuales son utilizadas por la mayoría de los CERT y
CSIRT a nivel mundial. Con esto se podrá compartir información con dichas entidades
cuando sea necesario.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 15 de 19

3.2.1 Abuso de Contenido

Los incidentes de abuso de contenido son aquellos en que se ve comprometida la

imagen de la entidad o corresponden al uso de medios electrónicos de la entidad para
realizar acciones que contienen aspectos prohibidos, ilícitos u ofensivos. Dentro de esta
categoría pueden encontrarse incidentes como lo es el envío de spam, pornografía
infantil, información con contenido explícito o acciones violentas, amenazas,
desacreditación o discriminación de alguien (por ejemplo, acecho cibernético, racismo y
amenazas contra uno o más individuos).

3.2.2 Código Malicioso

Se refiere a un programa o un código de programa destinado a realizar una función o

proceso no autorizado que tendrá un impacto adverso en la confidencialidad, integridad o
disponibilidad de un sistema de información. Generalmente existe una interacción del
usuario necesaria para activar o ejecutar el código.
Se consideran dentro del código malicioso tipos como virus, troyanos, gusanos, spyware,
Adware/Hoax, ransomware, rogueware, exploits, entre otros.
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 16 de 19

3.2.3 Recopilación de Información

Técnicas que son usadas por un agente de amenaza y llevadas a cabo como paso previo
al ataque a una entidad. Consiste en recabar la máxima cantidad de información de la
plataforma tecnológica mediante buscadores, redes sociales, sitios web públicos con
contenido filtrado o recopilado, entre otros. Dicha información permite al atacante
elaborar un “perfil” de su objetivo, aumentando así las probabilidades de éxito.
Algunos ejemplos serían las acciones como escaneo de puertos, servicios y cuentas
(Scanning), observar y grabar tráfico de red (Sniffing), tanto cableada como inalámbrica
(ej. Wiretapping), obtención e inspección de información a través de medios no técnicos
(ingeniería social), descubrimientos y debilidades basados en fuentes de inteligencia
abierta (Técnicas de OSINT), configuraciones por defecto en plataformas de TI, ataques
conocidos como Man in the Middle, Sesión Hijacking, entre otros.

3.2.4 Intrusiones

Son las acciones tendientes a eludir los mecanismos de autenticación y acceso de un

sistema. Contemplan desde un acceso a recursos sin autorización hasta múltiples
intentos de inicio de sesión (Adivinar / descifrar contraseñas) o mediante la ejecución de
programas o exploits, incluyen ataques conocidos como Poissoning, ataques sobre los
sistemas de autenticación y la capacidad de explotación de peticiones (fuerza bruta).
Acciones como intentos o accesos a una cuenta privilegiada, ataques sobre kerberos,
ataques Pash the Hash, ataques que busquen adquirir privilegios ilícitos sobre un
sistema no autorizado (elevación de privilegios), ataques cuya finalidad es, utilizando un
sistema comprometido, atacar los accesibles a través del mismo (movimiento lateral),
ataques que explotan o utilizan técnicas de acceso a través de backdoor en un aplicativo.
Aquellos que se realicen mediante la explotación de vulnerabilidades con un identificador
estandarizado como el nombre CVE (por ejemplo, desbordamiento de búfer, puerta
trasera, secuencias de comandos entre sitios, etc.) serán catalogados dentro de la
categoría de vulnerabilidades.

3.2.5 Disponibilidad del Servicio

Se considera cuando la propiedad de la disponibilidad se afecta tanto en el acceso, uso

oportuno y confiable de un sistema, aplicación (servicio) o la información misma.
Ejemplos de DoS son las inundaciones de ICMP y SYN. DDoS a menudo se basa en
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 17 de 19

ataques DoS que se originan en botnets, pero también existen otros escenarios como los
ataques de Amplificación DNS.
Adicionalmente, la disponibilidad también puede verse afectada por acciones locales
(destrucción, interrupción del suministro de energía, etc.), fallas espontáneas o errores
humanos, sin malicia o negligencia, y sabotaje.

3.2.6 Fraude

Uso de tecnologías de la información con el fin de distorsionar los datos e inducir a la

víctima a hacer alguna actividad o tarea, provocando con ello afectación a la
confidencialidad, integridad o disponibilidad de la información. Una forma de fraude
involucra la intercepción de una transmisión electrónica, ocasionando el robo de
credenciales, los datos de la tarjeta de crédito u otra información confidencial sobre la
identidad de una persona.
Se considera fraude el uso no autorizado de recursos, violación a la propiedad intelectual
y derechos de autor (Copyright), enmascaramiento, phishing y spear phishing, spoofing
(Suplantación) o alteración y/o eliminación de datos almacenados, entre otros.

3.2.7 Seguridad del Contenido de

la Información

Se refiere aquellos incidentes que suponen amenazas generales que puedan atentar
contra la información. Considera acciones como las interceptaciones, acceso o
alteración, directa o indirecta, independientemente de su localización, de información no
autorizada, fuga o compartición de información sensible o no autorizada, exposición
intencionada o no, de información no autorizada, perdida o borrado de información de
forma inintencionada, fuga de información sensible a través de los metadatos incrustados
en documentos (esteganografía).

3.2.8 Vulnerabilidades

Incidentes que son materializados por la explotación de una vulnerabilidad. Se

consideran los ataques comunes como lo son XSS (Cross Site Scripting por sus siglas en
inglés), SQL Injection, ataques de inyección, Ataques RFI / LFI, ataques CSRF, ataques
SSL y certificados, ataques basados en web (Cookie reply, clonación de sesión),
vulnerabilidades conocidas, entre otros.
Adicionalmente, se incluyen dentro de esta categoría las acciones que se realizan
mediante la explotación de vulnerabilidades con un identificador estandarizado como el
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 18 de 19

nombre CVE (por ejemplo, desbordamiento de búfer, puerta trasera, secuencias de

comandos entre sitios, etc.)

3.2.9 Otros

Incidentes que no están contemplados en ninguna de las ocho categorías anteriores.

Pueden ser un indicador para la actualización de la clasificación.

4. Anexo

Las siguientes son las entidades y grupos de atención a incidentes consultados para la
definición de la clasificación única de incidentes cibernéticos que será aplicada al sector
financiero colombiano. La clasificación adoptada está homologada con las empleadas
por dichas entidades, lo cual facilitará el intercambio de información a nivel nacional e
internacional:

ALEF-CSIRT CIRCL.lu KBC Group CERT

BSI/CERT-Bund DFN-CERT Open Systems
CaixaBank EATM-CERT S-CURE
CCN-CERT EC3 SI-CERT
CERT.AT EGI-CSIRT Siemens
CERT.be ENISA SWITCH CERT
CERT.LV/TF-CSIRT Eurocontrol Tallinn University
CERT-Bund Gemalto TeliaCERT
CERT-SE GOVCERT.LU UK MOD / University of
Warwick
CESNET IRIS-CERT
 GUIA T-GU-SGI-003

GUÍA PARA LA CLASIFICACION DE INCIDENTES Versión 2

CIBERNETICOS – PROYECTO TUIC Página 19 de 19

5. HISTORIAL DE CAMBIOS

Fecha Versión Cambios

23/Dic/2019 1 Creación documento
Modificaciones de forma en numeración e índice, e inclusión de
21/02/2020 2
entidades participantes en la definición de la taxonomía.