El desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC) trae consigo una serie de amenazas emergentes relacionadas con la extensión de su uso a múltiples ámbitos. Según datos del CCN-CERT (Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional), se preveía un aumento del 26,55% en el número de ciberincidentes hacia el sector público y empresas estratégicas españolas en 2017 frente al año anterior.
Los ciberataques más comunes corresponden a las intrusiones (ataques dirigidos a explotar vulnerabilidades e introducirse en el sistema) y al uso de troyanos y spyware. Uno de los casos más conocidos de código dañino fue WannaCry, que hicieron cuestionarse a muchas organizaciones el grado de protección de sus datos.
Para garantizar un funcionamiento eficaz de la tecnología, es necesario evaluar la gravedad de los ciberincidentes para desarrollar y mantener una serie de protocolos de seguridad adecuados. La Guía de Seguridad de las TIC elaborado por el Centro Criptológico Nacional establece cinco niveles de peligrosidad según el tipo de ciberincidente que van desde un nivel bajo a un nivel crítico.
Nivel Bajo
Incluyen ataques a la imagen, menosprecio, así como errores y fallos. En cuanto al vector del ataque, o la ruta utilizada por el ciberdelincuente para acceder a la víctima, hablamos de políticas, spam sin adjuntos, software desactualizado, acoso, coacción o comentarios ofensivos, un error humano o un fallo de hardware o del software. El incidente se caracteriza por la escasa capacidad para obtener un volumen apreciable de información o para tomar el control de sistemas
Nivel Medio
La principal amenaza de este nivel es el incremento significativo de capacidades ofensivas, la desfiguración de páginas web y la manipulación de información. El atacante accede al objetivo mediante descargas de archivos sospechosos, contactos con dominios o direcciones IP sospechosas, escáneres de activos y vulnerabilidades, códigos dañinos de bajo impacto (adware, spyware, etc.) o ingeniería social. Este tipo de ataques se definen por su capacidad para extraer un volumen apreciable de información y para tomar el control de algún sistema.
Nivel Alto
Los riesgos a los que nos enfrentamos en este nivel es la toma de control de los sistemas, el robo y publicación o venta de información sustraída, los ciberdelitos y la suplantación. Las acciones para lograr sus objetivos se basan en el uso de códigos dañinos de medio impacto (virus, gusanos, troyanos), los ataques externos, el tráfico DNS con dominios relacionados con APTs o campañas de malware, los accesos no autorizados, suplantación o sabotaje. Este nivel implica una capacidad para conseguir información valiosa, así como para tomar el control de ciertos sistemas.
Nivel Muy Alto
Puede conllevar la interrupción de los recursos IT y de otros servicios, con las graves consecuencias que puede tener para una compañía, y la filtración de datos. El vector del ataque consiste en códigos dañinos de alto impacto, como troyanos, y los ataques externos con éxito. El nivel muy alto se caracteriza por su capacidad para obtener grandes volúmenes de información valiosa y para controlar una gran cantidad de sistemas sensible.
Nivel Crítico
La gran amenaza es el ciberespionaje. El ataque proviene de APTs, campañas de malware, interrupción de servicios, compromiso de sistemas de control industrial, incidentes especiales, etc. Capacidad para filtrar información muy valiosa, en cantidad considerable y en poco tiempo. Este nivel no solo implica la capacidad controlar un gran volumen de sistemas sensibles, sino de hacerlo en poco tiempo. Un 5% de los ciberincidentes gestionados en 2017 se clasificarían con un nivel de peligrosidad muy alto o crítico, según CCN-CERT, lo que implica una gestión diaria de casi cuatro ciberataques.