Registro y Análisis de Incidentes de Seguridad Digital

Entendemos que un incidente digital es cualquier evento adverso (verificado o en sospecha) relacionado con la información (incluyendo datos y metadatos) y comunicación digital. La información o comunicación se considera digital cuando ha sido creada, procesada y transmitida mediante dispositivos electrónicos.

Para identificar tendencias y conocer los principales ataques que se enfrentan en la región realizamos un trabajo de sistematización de los incidentes que identificamos. Entre 2015 y 2020 hemos desarrollado este trabajo en el marco del Observatorio Centroamericano de Seguridad Digital.

La sistematización de los incidentes se realiza siguiendo una ruta de intervención que incluye la realización del contacto inicial, la verificación del incidente, la realización de un pre-diagnóstico, la implementación de las acciones definidas durante el pre-diagnóstico, el peritaje especializado y la realización del informe de resultados del peritaje. No todos los incidentes requieren la realización de todos los pasos de la ruta.

A partir de la experiencia acumulada hasta el momento se ha desarrollado la siguiente tipología para clasificar los incidentes:

Ataques LAN (1): Bloqueo del tráfico de datos que circula en la red local, interrupción de las conexiones entre las computadoras de la red, denegación de acceso de servicios y generación de tráfico en la red. Un ejemplo es el de reconfigurar los routers o modems para bloquear determinadas páginas.

Ataques remotos: Toma de control del equipo o extracción de información del mismo de forma remota, logrando el acceso mediante una conexión a Internet o a una red. Los ataques remotos aprovechan vulnerabilidades del módem (2) o del sistema operativo.

Ataques Web: Todo ataque a los servicios de Internet que utilizamos y el monitoreo de los mismos. Estos pueden ser los servicios de blogs, noticias, radios en línea, nuestros sitios web, bloqueo de nuestro canal de Youtube, u otros, así como el monitoreo de nuestro comportamiento a partir de los sitios que visitamos.

Una de las principales técnicas informáticas para este tipo de ataque es DDoS (ataque de denegación de servicios), que es un ataque a la red que causa que un servicio o recurso sea inaccesible. También entran en esta categoría la censura de determinados sitios web por parte del Proveedor del Servicio de Internet (ISP), el monitoreo de tráfico, robo de identidad en la Web, suplantación de sitio web, aparición de publicaciones no autorizadas en el sitio Web, cambios en el Servidor de Nombres de Dominio (DNS), inadecuada actualización y respaldo del sitio Web.

Compromiso de cuentas: Ésta es una categoría especial que debería estar contenida en “Ataques a Web” pero que específicamente trata de craqueo de nuestras credenciales para acceder a los servicios que utilizamos. Se decide separar por la cantidad de incidentes de éste tipo que normalmente se dan (3). Una de las principales técnicas informáticas para este ataque es el Phishing (4) o suplantación de identidad, caracterizado por intentar adquirir información confidencial de forma fraudulenta, particularmente las contraseñas de cualquier cuenta de correo electrónico, de suscripciones en Internet, de redes sociales, de administración de Hosting y sitios Web, cuentas bancarias, tarjetas de crédito, etc.

Malware (5) o software malicioso: Cualquier tipo de software (6) que se ejecuta en los dispositivos para interrumpir las operaciones y recolectar información sensible sin consentimiento de la persona administradora. También se pueden instalar simultáneamente, pero de manera oculta como complementos extras de algunos programas aparentemente legítimos, legales, sin mala fe o sin terceras u ocultas intenciones. Uno de los malware más peligrosos es el conocido como spyware (7) o programa espía el cual recopila información almacenada en el dispositivo y la transmite a una entidad externa sin consentimiento de la persona administradora. Los programas instalados en celulares que realizan escuchas telefónicas, o incluso que activan vídeo y audio también son considerados malware.

Pérdida de hardware: Robo, hurto, destrucción, o extravío del equipo. Un ejemplo de esto es la destrucción de equipo en un allanamiento ilegal.

Retención de hardware: Equipo incautado, confiscado y retenido por parte de agentes del Estado, con o sin orden legal, con o sin justificación legítima.


(1) Red de Área Local por sus siglas en inglés. Se refiere al conjunto de computadoras ubicadas en un espacio determinado (como las oficinas de una organización), que pueden compartir archivos entre ellas y también pueden compartir salida a la Internet.
(2) El Módem es el aparato proporcionado por el proveedor del servicio de Internet. Convierte la información digital generada por las computadoras en frecuencias de sonido para ser transmitidas por una red telefónica, es decir, el aparato por medio del cual las computadoras se conectan a Internet.
(3)Recomendación del equipo de Access Now a partir de su experiencia con el Help Desk. https://www.accessnow.org/linea-de-ayuda-en-seguridad-digital/
(4) Ed Skoudis. Phone phishing: The role of VoIP in phishing attacks.
(5) Definición de Malware obtenida de techterms.com http://techterms.com/definition/malware
(6) Se entiende Software como cualquier componente no tangible, por medio del cual se ejecutan determinadas instrucciones o rutinas que permiten utilizar un dispositivo.
(7) FTC Report (2005). Disponible en: http://www.ftc.gov/os/2005/03/050307spywarerpt.pdf