ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 21 min de lectura · Avanzado

Taxonomía de incidentes de seguridad IT/OT/ICS: a fondo

Marco completo de clasificación de incidentes de seguridad para entornos IT, OT e ICS, incluyendo taxonomías oficiales y marcos de referencia.

Link para documento de mapping:

Glosario Técnico: Taxonomías de Incidentes de Ciberseguridad

Conceptos Fundamentales

Taxonomía: Sistema de clasificación jerárquico que organiza y categoriza elementos según características específicas. En ciberseguridad, una taxonomía de incidentes proporciona un marco estructurado para clasificar, documentar y responder a eventos de seguridad.

IT (Information Technology): Tecnología de la Información. Conjunto de sistemas, hardware, software y redes utilizados para crear, procesar, almacenar, intercambiar y asegurar datos en entornos empresariales y comerciales.

OT (Operational Technology): Tecnología Operativa. Hardware y software que detecta o causa cambios en procesos físicos a través del monitoreo y control directo de dispositivos físicos, procesos e infraestructura industrial.

ICS (Industrial Control Systems): Sistemas de Control Industrial. Término general que engloba varios tipos de sistemas y equipos de control utilizados para operar y/o automatizar procesos industriales, incluyendo SCADA, DCS, PLC y otros dispositivos de control.

Modelo de Purdue: Marco de referencia para arquitectura de sistemas de control industrial que define una jerarquía de niveles, desde el proceso físico (Nivel 0) hasta sistemas empresariales (Nivel 5), con zonas desmilitarizadas entre IT y OT.

Principales Taxonomías de Incidentes

Taxonomías Oficiales/Regulatorias

Taxonomía ANCI (Chile): Establecida por la Agencia Nacional de Ciberseguridad según la Ley N° 21.663 y el Decreto N°295/2024. Clasifica incidentes según criterios de efecto significativo (interrupción de servicio, afectación física, compromiso de activos informáticos, acceso no autorizado, afectación a datos personales).

ENISA Taxonomy (Unión Europea): Desarrollada por la Agencia de la Unión Europea para la Ciberseguridad, clasifica incidentes en categorías como contenido abusivo, código malicioso, recopilación de información, intentos de intrusión, intrusiones, disponibilidad, seguridad de la información, fraude, vulnerable y otros.

US-CERT Taxonomy (Estados Unidos): Utilizada por el Equipo de Preparación para Emergencias Informáticas de EE.UU., categoriza incidentes en ejercicios/pruebas, acceso no autorizado, denegación de servicio, malware, uso inapropiado, reconocimiento/sondeo/escaneo y otros.

Taxonomías de Marcos de Referencia

MITRE ATT&CK: Marco de conocimiento de tácticas, técnicas y procedimientos adversarios basado en observaciones del mundo real. Incluye tres matrices principales:

  • Enterprise ATT&CK: Para entornos IT tradicionales
  • ICS ATT&CK: Específica para sistemas de control industrial
  • Mobile ATT&CK: Para dispositivos móviles

NIST Cybersecurity Framework (NIST-CSF): No es una taxonomía de incidentes per se, pero organiza las actividades de ciberseguridad en cinco funciones (Identificar, Proteger, Detectar, Responder, Recuperar) que proporcionan contexto para clasificar controles e incidentes.

ISO/IEC 27035: Establece categorías generales para la gestión de incidentes de seguridad de la información, incluyendo ataque de código malicioso, código móvil malicioso, acceso no autorizado, etc.

Taxonomías Específicas por Sector

NERC CIP (Sector Eléctrico): Taxonomía implícita en los estándares de protección de infraestructura crítica para el sector eléctrico norteamericano, enfocada en incidentes que afectan sistemas de control de redes eléctricas.

ISA/IEC 62443 (Automatización Industrial): Taxonomía de incidentes incorporada en este estándar internacional para seguridad de sistemas de automatización y control industrial.

PCSRF (Process Control System Reliability Framework): Taxonomía para incidentes en sistemas de control de procesos en industrias como petróleo, gas y petroquímica.

Taxonomías Complementarias y Académicas

Taxonomía del Profesor Vargas: Taxonomía complementaria que mapea incidentes con técnicas MITRE ATT&CK, controles ISO 27002 y CIS Top 18. Se subdivide en:

  • Taxonomía para entornos IT tradicionales (con codificación jerárquica A.I.1, A.II.1, etc.)
  • Taxonomía específica para entornos OT/ICS (con clasificación por efecto observable)
  • Taxonomía para incidentes IT/OT (con enfoque en compromiso de cadena de suministro)

Taxonomía AVOIDIT: Framework académico que clasifica malware e incidentes según Ataque, Vector, Objetivo Operacional, Impacto y Destino.

Howard-Longstaff: Una de las primeras taxonomías formales de incidentes (1998) que clasifica eventos por atacante, herramienta, vulnerabilidad, acción, objetivo, resultado no autorizado y objetivos.

Incidentes Específicos por Entorno

Incidentes IT

  • Phishing y fraude
  • Exfiltración de datos sensibles
  • Inyección SQL/NoSQL
  • Denegación de servicio (DDoS)
  • Malware y ransomware
  • Acceso no autorizado a sistemas
  • Ataques de fuerza bruta
  • Explotación de vulnerabilidades web

Incidentes OT/ICS

  • Manipulación de PLCs
  • Falsificación de datos de sensores
  • Modificación de firmware industrial
  • Bypass de interlocks de seguridad
  • Manipulación de consolas HMI
  • Interceptación de comandos industriales
  • Compromiso de estaciones de ingeniería
  • Manipulación física de dispositivos

Incidentes Transversales IT/OT

  • Compromiso de cadena de suministro
  • Movimiento lateral entre zonas
  • Ataques de ingeniería social
  • Amenazas internas
  • Vulnerabilidades Zero-Day
  • Instalación de dispositivos rogue
  • APTs (Amenazas Persistentes Avanzadas)

Resumen

Este artículo presenta un análisis exhaustivo de la taxonomía de incidentes de seguridad, con especial énfasis en su aplicación a la protección de activos críticos organizacionales. Se establece una clasificación estructurada de incidentes según su naturaleza, técnicas asociadas y alineación con marcos de referencia internacionales como MITRE ATT&CK, NIST-CSF, ISO 27002 y CIS Top 18. El documento proporciona una visión holística de las principales categorías de incidentes: accesos no autorizados, exfiltración de datos, indisponibilidad de servicios y modificaciones no autorizadas; junto con sus respectivos controles recomendados. Esta taxonomía representa una herramienta fundamental para que las organizaciones comprendan las amenazas actuales, establezcan estrategias de mitigación efectivas y mejoren su postura general de seguridad.

Palabras clave: taxonomía de incidentes, ciberseguridad, MITRE ATT&CK, NIST-CSF, ISO 27002, CIS Controls, gestión de riesgos

Introducción

La Ley Marco de Ciberseguridad (Ley N° 21.663), publicada en el Diario Oficial de Chile el 8 de abril de 2024, establece un nuevo paradigma regulatorio que obliga desde el 1 de marzo de 2025 a todas las empresas y organizaciones que prestan servicios esenciales a reportar a la Agencia Nacional de Ciberseguridad (ANCI) los ciberataques o incidentes de impacto significativo. Este marco normativo, complementado por el Decreto N°295/2024 que aprueba el reglamento de reporte de incidentes, define los procedimientos, plazos y requisitos para el cumplimiento de esta obligación, estableciendo un plazo máximo de tres horas desde la detección del incidente para realizar el reporte inicial (Ministerio del Interior y Seguridad Pública, 2025).

En este contexto regulatorio y en el panorama actual de la ciberseguridad, caracterizado por un incremento exponencial en la sofisticación y frecuencia de los ataques, las organizaciones enfrentan el desafío crítico de proteger sus activos digitales frente a múltiples vectores de amenaza (Shackelford et al., 2021). La efectividad de esta protección depende significativamente de la capacidad organizacional para identificar, clasificar y responder adecuadamente a los diferentes tipos de incidentes de seguridad que pueden comprometer sus sistemas e información (Mukherjee, 2022).

Complejidad en la Clasificación de Incidentes en Entornos IT/OT/ICS

La clasificación de incidentes de seguridad en entornos puramente IT presenta desafíos significativos debido a la naturaleza dinámica y en constante evolución del panorama de amenazas. A diferencia de los entornos OT/ICS, donde la taxonomía puede organizarse en torno a dispositivos físicos y niveles claramente definidos del modelo Purdue, los incidentes en entornos IT suelen manifestarse de manera más difusa, con fronteras poco claras entre categorías y con técnicas que evolucionan rápidamente. Los atacantes modernos emplean tácticas híbridas que combinan múltiples vectores (phishing, malware, explotación de vulnerabilidades, ingeniería social) en una misma campaña, desafiando las categorías estáticas. Además, la creciente adopción de arquitecturas cloud, microservicios, contenedores y metodologías DevOps ha introducido nuevos vectores de ataque que no encajan perfectamente en las taxonomías tradicionales. La virtualización de infraestructuras difumina las líneas entre capas de aplicación, sistemas operativos y hardware, mientras que los ataques basados en la cadena de suministro pueden comprometer simultáneamente múltiples capas de la arquitectura IT. Esta complejidad se ve amplificada por la velocidad con que aparecen nuevas vulnerabilidades y técnicas de explotación, lo que exige taxonomías flexibles que puedan adaptarse rápidamente para capturar nuevas categorías de amenazas sin perder la capacidad de mapeo con marcos de referencia establecidos y requisitos regulatorios.

** Según el diagrama compartido, se evidencia una problemática significativa en cómo los marcos regulatorios actuales abordan la taxonomía de incidentes de ciberseguridad, especialmente en entornos industriales.

El Modelo de Purdue muestra claramente cómo cada nivel operativo (desde sistemas empresariales hasta procesos físicos) está sujeto a tipos específicos de incidentes. Sin embargo, la regulación actual establecida por la ANCI en su reglamento presenta una taxonomía genérica que no diferencia adecuadamente entre estos niveles.

La principal problemática radica en que los marcos regulatorios no contemplan la diversidad de incidentes específicos que pueden ocurrir en entornos OT/ICS, donde las amenazas tienen características y riesgos particulares para cada nivel de la arquitectura Purdue. Esto genera importantes brechas en la identificación, clasificación y reporte de incidentes, particularmente en los niveles más críticos (0-3) que controlan procesos físicos e industriales.

Esta ausencia de categorización específica dificulta la implementación de controles adecuados y limita la capacidad de las organizaciones para cumplir efectivamente con las obligaciones de reporte, además de complicar la respuesta coordinada ante incidentes que afectan infraestructuras críticas.

La taxonomía de incidentes se posiciona como un componente esencial dentro de cualquier estrategia integral de ciberseguridad, proporcionando un marco sistemático para la categorización de eventos de seguridad según sus características, impactos potenciales y técnicas asociadas. Esta clasificación estructurada no solo facilita la comprensión de las amenazas y el cumplimiento normativo, sino que también permite alinear los esfuerzos de seguridad con estándares y marcos de referencia internacionales (Ferreira et al., 2023).

El presente artículo tiene como objetivo principal analizar la taxonomía de incidentes de seguridad desde una perspectiva holística, explorando su importancia estratégica, estructura fundamental y aplicación práctica en entornos organizacionales, considerando el nuevo marco legal que establece obligaciones específicas para el reporte de incidentes. Específicamente, se abordarán las siguientes preguntas de investigación:

  1. ¿Cuáles son las principales categorías de incidentes de seguridad que afectan a las organizaciones contemporáneas y deben ser reportados según la normativa vigente?
  2. ¿Cómo se relacionan estas categorías con los marcos de referencia establecidos como MITRE ATT&CK, NIST-CSF, ISO 27002 y CIS Top 18?
  3. ¿Qué controles y medidas de seguridad resultan más efectivos para mitigar cada tipo de incidente?
  4. ¿Cómo debe estructurarse el proceso de reporte de incidentes para cumplir con las nuevas exigencias legales?

La relevancia de este estudio radica en su contribución al fortalecimiento de las capacidades organizacionales para la gestión proactiva de la seguridad y el cumplimiento normativo, permitiendo a las entidades identificar vulnerabilidades, priorizar recursos y desarrollar estrategias de defensa adaptadas a la naturaleza específica de las amenazas que enfrentan, mientras cumplen con las obligaciones legales de reporte establecidas en la Ley Marco de Ciberseguridad y su reglamento (Vargas, 2025).

Desarrollo

Marco Conceptual de la Taxonomía de Incidentes

La taxonomía de incidentes de seguridad constituye una clasificación jerárquica y sistemática de eventos adversos que pueden comprometer la confidencialidad, integridad o disponibilidad de los activos de información organizacionales (NIST, 2023). Esta estructura taxonómica proporciona un vocabulario común para la descripción de incidentes, facilitando su documentación, análisis y respuesta coordinada.

De acuerdo con Johnson (2022), una taxonomía efectiva debe cumplir con los siguientes criterios:

  • Exhaustividad: Debe abarcar todas las categorías relevantes de incidentes.
  • Exclusividad mutua: Las categorías deben ser lo suficientemente distintas para evitar ambigüedades.
  • Aceptación general: Debe alinearse con estándares y mejores prácticas reconocidas en la industria.
  • Reproducibilidad: Diferentes analistas deberían clasificar un mismo incidente de manera consistente.
  • Utilidad: La taxonomía debe servir como base para el desarrollo de estrategias de mitigación.

La estructura taxonómica presentada por Vargas (2025) cumple con estos criterios al organizar los incidentes en cuatro categorías principales:

  1. Uso no autorizado de redes y sistemas informáticos (Categoría A)
  2. Exfiltración y/o exposición de datos o configuraciones (Categoría B)
  3. Indisponibilidad y/o denegación de servicio (Categoría C)
  4. Modificación no autorizada de datos o configuraciones (Categoría D)

Estas categorías principales se subdividen en subcategorías más específicas que reflejan diferentes técnicas, tácticas y procedimientos (TTPs) empleados por los adversarios.

Categoría A: Uso No Autorizado de Redes y Sistemas Informáticos

El acceso no autorizado representa una de las amenazas más prevalentes en el entorno digital contemporáneo, constituyendo el punto de entrada para numerosos ataques subsecuentes (Kumari & Singh, 2023). Esta categoría comprende todos aquellos incidentes en los que un actor malintencionado logra acceder ilegítimamente a recursos informáticos, ya sea mediante la explotación de vulnerabilidades, ataques de fuerza bruta o el uso de credenciales comprometidas.

Según el análisis de Vargas (2025), los incidentes en esta categoría se pueden clasificar en cuatro subcategorías principales:

  1. Acceso no autorizado a almacenamiento (A.I.1): Correlacionado con las técnicas MITRE ATT&CK T1078 (Valid Accounts) y T1110 (Brute Force), este tipo de incidente involucra el acceso ilegítimo a repositorios de datos. Los controles de mitigación recomendados incluyen la implementación de autenticación multifactor y la gestión de privilegios mínimos, alineándose con los controles 8.3 y 9.4 de ISO 27002, así como con CIS 4 y CIS 5.
  2. Ataque de fuerza bruta exitoso (A.I.2): Caracterizado por intentos sistemáticos para descubrir credenciales válidas mediante prueba y error, estos ataques suelen ser detectables por su patrón repetitivo. Las medidas de mitigación incluyen políticas de bloqueo de cuentas tras múltiples intentos fallidos y monitorización avanzada de eventos de autenticación.
  3. Explotación de vulnerabilidades de autenticación (A.I.3): Relacionado con las técnicas T1190 (Exploit Public-Facing Application) y T1588.006 (Vulnerabilities), este tipo de incidente aprovecha debilidades en los mecanismos de autenticación. Su mitigación requiere un enfoque integral que incluya parcheo regular, pruebas de penetración y validación rigurosa de entradas.
  4. Uso de credenciales comprometidas (A.I.4): Considerado de impacto crítico, este incidente involucra el uso de credenciales legítimas obtenidas por medios ilícitos. Los controles recomendados incluyen rotación periódica de credenciales y monitoreo de actividad anómala.

En el contexto del marco NIST-CSF, estos incidentes se alinean principalmente con las funciones de Protección y Detección, mientras que en ISO 27002 se relacionan con los dominios de gestión de acceso y control de acceso a sistemas.

Categoría B: Exfiltración y/o Exposición de Datos o Configuraciones

La exfiltración de datos representa una amenaza significativa para la confidencialidad de la información organizacional, con consecuencias potencialmente devastadoras tanto a nivel operativo como reputacional (Chen & Zhao, 2022). Esta categoría comprende aquellos incidentes donde la información confidencial, configuraciones críticas o código fuente es extraído ilegítimamente o expuesto a partes no autorizadas.

De acuerdo con la taxonomía de Vargas (2025), esta categoría se subdivide en tres grupos principales:

  1. Exfiltración y/o exposición de datos (B.I): Incluye incidentes como:
  2. Exfiltración y/o exposición de configuraciones (B.II): Comprende la filtración de configuraciones y secretos en rutas de aplicación, correspondientes a técnicas como T1552 (Unsecured Credentials). Los controles recomendados incluyen revisión de seguridad de código, escaneo de vulnerabilidades y gestión segura de secretos.
  3. Exfiltración y/o exposición de código fuente (B.III): Incluye incidentes relacionados con la exposición de archivos de control de versión o sistemas completos de control de versión, vinculados a técnicas como T1213 (Data from Information Repositories). Su mitigación requiere configuración segura de repositorios, escaneo de código expuesto y control de acceso.

Estos incidentes se alinean principalmente con las funciones de Identificación y Protección del marco NIST-CSF, y con los controles de clasificación de la información (8.2) y gestión de seguridad de red (13.1) de ISO 27002.

Categoría C: Indisponibilidad y/o Denegación de Servicio

La disponibilidad constituye un pilar fundamental de la seguridad de la información, siendo particularmente crítica para organizaciones cuyas operaciones dependen de la accesibilidad continua a sus sistemas y datos (Pacheco et al., 2021). Esta categoría abarca los incidentes que comprometen la disponibilidad de los recursos informáticos, ya sea mediante ataques deliberados de denegación de servicio o por fallos operativos.

Según la taxonomía analizada, esta categoría se divide en dos subcategorías principales:

  1. Indisponibilidad y/o denegación de servicio (C.I): Incluye incidentes como:
  2. Degradación de servicio (C.II): Comprende incidentes como el secuestro de recursos (cryptojacking), sobrecarga de bases de datos y uso excesivo de ancho de banda. Los controles recomendados incluyen monitoreo de comportamiento, limitación de consultas y calidad de servicio (QoS).

En el contexto del marco NIST-CSF, estos incidentes se alinean principalmente con las funciones de Protección, Detección y Recuperación, mientras que en ISO 27002 se relacionan con los dominios de gestión de seguridad de red (13.1) y copias de seguridad (12.3).

Categoría D: Modificación No Autorizada de Datos o Configuraciones

La integridad de la información representa un componente crítico para la confiabilidad y utilidad de los sistemas informáticos en cualquier organización (Walsh & Johnson, 2023). Esta categoría comprende aquellos incidentes donde datos o configuraciones son modificados sin autorización, comprometiendo su exactitud, completitud o fiabilidad.

De acuerdo con Vargas (2025), esta categoría se subdivide en dos grupos principales:

  1. Modificación no autorizada de datos (D.I): Incluye incidentes como:
  2. Manipulación no autorizada de configuración (D.II): Comprende incidentes como alteración de reglas de firewall, desactivación de registros de seguridad y modificación de políticas de acceso. Su mitigación requiere gestión de cambios, monitoreo de configuraciones y control de acceso privilegiado.

Estos incidentes se alinean principalmente con las funciones de Protección y Detección del marco NIST-CSF, y con los controles de control de acceso a sistemas (9.4) y registro de eventos (12.4) de ISO 27002.

Taxonomía Aplicada a Entornos OT/ICS

Un aspecto fundamental y a menudo subestimado en la clasificación de incidentes de seguridad es la diferenciación necesaria entre entornos de Tecnología de la Información (IT) y Tecnología Operativa (OT) o Sistemas de Control Industrial (ICS). Mientras que los sistemas IT convencionales priorizan la confidencialidad, integridad y disponibilidad en ese orden, los sistemas OT/ICS invierten esta prioridad, enfatizando la disponibilidad y seguridad operativa sobre otras consideraciones (Langner, 2022).

La taxonomía específica para entornos OT/ICS debe considerar amenazas únicas a estos sistemas, como ataques a procesos físicos, manipulación de sensores, alteración de interfaces hombre-máquina (HMI) y compromisos a controladores lógicos programables (PLC), que pueden tener consecuencias directas en el mundo físico, incluyendo daños materiales o riesgos para la seguridad humana (Stouffer et al., 2023).

Es importante clarificar que la “Taxonomía Completa de Incidentes y Técnicas con Mapeo a Marcos de Seguridad” y la tabla de mapeo detallada con controles para entornos IT/OT es una creación desarrollada por el Profesor Vargas (2025), mientras que la matriz oficial y taxonomía de reporte que debe utilizarse para el cumplimiento normativo es la establecida por la Agencia Nacional de Ciberseguridad (ANCI) en conformidad con la Ley N° 21.663 y el Decreto N°295/2024. Las organizaciones deben adherirse a la taxonomía oficial de la ANCI para el reporte obligatorio de incidentes, mientras que la taxonomía expandida del Profesor Vargas proporciona un marco de referencia más amplio para la comprensión y gestión interna de incidentes.

Como complemento a la taxonomía general analizada anteriormente, el Profesor Vargas ha desarrollado una taxonomía expandida que incorpora elementos específicos para entornos OT/ICS, mapeando no solo los marcos de referencia generales como MITRE ATT&CK para ICS, ISO 27002 y CIS Top 18, sino también estándares específicos del sector como ISA/IEC 62443 y NERC CIP, fundamentales para industrias críticas como energía, manufactura y utilidades.

Entre los tipos de incidentes específicos para entornos OT/ICS destacan:

  1. Acceso no autorizado a sistemas de control: Incluye acceso remoto no autorizado a sistemas SCADA o DCS mediante credenciales válidas comprometidas.
  2. Manipulación de PLCs: Instalación de firmware malicioso en PLCs que permite alterar la lógica de control de procesos industriales.
  3. Compromiso de estaciones de ingeniería: Ejecución de código malicioso en Engineering Workstations (EWS) que facilita el acceso inicial y la persistencia en la red industrial.
  4. Interferencia en comunicaciones industriales: Ataques de intermediario (MitM) que permiten interceptar y modificar comandos en protocolos industriales como Modbus/TCP.
  5. Manipulación de sensores: Falsificación de datos de sensores en tiempo real para inducir respuestas erróneas del sistema de control.
  6. Exfiltración de configuraciones industriales: Robo de recetas de producción y parámetros críticos de PLCs que constituyen propiedad intelectual valiosa.
  7. Compromiso de la cadena de suministro: Manipulación de dependencias de software, alteración de componentes hardware y subversión de sistemas de actualización que afectan tanto a entornos IT como OT.

La integración de esta taxonomía especializada con la taxonomía general permite una comprensión más holística de los riesgos de seguridad en organizaciones con infraestructuras convergentes IT/OT, facilitando la implementación de estrategias de mitigación adaptadas a los requisitos específicos de cada entorno.

Taxonomía mejorada

Alineación con Marcos de Referencia

Una característica distintiva de la taxonomía analizada es su alineación explícita con marcos de referencia internacionales, lo que facilita su integración en programas de seguridad existentes y su adopción por organizaciones que ya utilizan estos marcos (Vargas, 2025).

MITRE ATT&CK

El marco MITRE ATT&CK proporciona una base de conocimiento de tácticas, técnicas y procedimientos utilizados por adversarios en ataques reales (MITRE, 2023). La taxonomía estudiada mapea cada categoría de incidente con técnicas específicas de ATT&CK, facilitando:

  • La comprensión de las metodologías empleadas por los atacantes
  • La implementación de controles específicos para cada técnica
  • La mejora de capacidades de detección y respuesta

Por ejemplo, los incidentes de acceso no autorizado (A.I.1) se mapean a las técnicas T1078 (Valid Accounts) y T1110 (Brute Force), proporcionando un contexto técnico preciso sobre cómo ocurren estos incidentes.

NIST Cybersecurity Framework (NIST-CSF)

El NIST-CSF organiza las actividades de ciberseguridad en cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperar (NIST, 2023). La taxonomía analizada vincula cada incidente con las funciones correspondientes, permitiendo a las organizaciones:

  • Integrar la gestión de incidentes en su implementación del marco NIST
  • Identificar brechas en su postura de seguridad
  • Priorizar inversiones en seguridad según las funciones más relevantes para su perfil de riesgo

Por ejemplo, los incidentes de exfiltración de datos (Categoría B) se alinean principalmente con las funciones de Identificación y Protección.

ISO 27002

La norma ISO 27002 proporciona directrices para estándares de seguridad organizacional y prácticas de gestión de la seguridad (ISO, 2022). La taxonomía mapea cada incidente con controles específicos de ISO 27002, facilitando:

  • La implementación de controles pertinentes para mitigar tipos específicos de incidentes
  • La evaluación de cumplimiento con estándares internacionales
  • La identificación de controles prioritarios según el perfil de amenazas

Por ejemplo, los incidentes de indisponibilidad (Categoría C) se vinculan con controles como 13.1 (Gestión de seguridad de red) y 17.2 (Redundancia).

CIS Controls

Los CIS Controls representan un conjunto priorizado de acciones para mitigar los ataques cibernéticos más prevalentes (CIS, 2023). La taxonomía analizada relaciona cada incidente con controles CIS específicos, permitiendo:

  • La implementación progresiva de controles según el nivel de madurez organizacional
  • La priorización de medidas defensivas con mayor impacto
  • La alineación de inversiones en seguridad con mejores prácticas reconocidas

Por ejemplo, los incidentes de modificación no autorizada (Categoría D) se asocian con controles como CIS 4 (Uso seguro de controles administrativos) y CIS 6 (Gestión de logs).

Análisis de las imágenes de taxonomía y recomendaciones de mejora

Imagen 1: Taxonomía complementaria de Incidentes y Técnicas con Mapeo a Marcos de Seguridad

Esta imagen muestra la “Taxonomía complementaria de Incidentes y Técnicas con Mapeo a Marcos de Seguridad” desarrollada por el Profesor Vargas (marzo 2025). Representa una matriz detallada específica para entornos OT/ICS que mapea incidentes con técnicas MITRE ATT&CK para ICS y controles ISO 27002.

Mejoras al modelo:

  • Incorpora una categorización granular de incidentes específicos para entornos industriales (no contemplados en la taxonomía oficial ANCI)
  • Relaciona cada incidente con técnicas específicas del framework MITRE ATT&CK para ICS, facilitando la identificación de patrones de ataque
  • Proporciona trazabilidad directa a los controles ISO 27002, permitiendo implementar medidas de mitigación adecuadas por cada tipo de incidente
  • Clasifica los incidentes según el “Efecto Observable”, permitiendo agruparlos por sus manifestaciones, facilitando su detección

** TAXONOMIA IT

Imagen 2: Matriz de Controles de Seguridad para Sistemas de Control Industrial

Esta sección se centra específicamente en el “Compromiso de cadena de suministro” para entornos IT/OT, expandiendo uno de los aspectos más críticos y emergentes en seguridad industrial.

Mejoras al modelo:

  • Incorpora variantes específicas de ataques a la cadena de suministro (dependencias de software, software de terceros, hardware)
  • Utiliza referencias a MITRE ATT&CK estándar (T1195.x) reconociendo la convergencia IT/OT
  • Mapea estos incidentes con controles específicos tanto de ISO 27002 como de CIS Controls
  • Reconoce la naturaleza “híbrida” de estos ataques, que afectan tanto infraestructuras IT como OT

TAXONOMIA ICS Esta imagen muestra una taxonomía detallada de incidentes para entornos IT tradicionales, utilizando un sistema de codificación estructurado (A.I.1, A.I.2, etc.) que establece jerarquías claras entre tipos de incidentes.

Mejoras al modelo:

  • Implementa un sistema de codificación que permite clasificar jerárquicamente los incidentes
  • Agrupa incidentes por “Área y Efecto Observable”, facilitando su categorización
  • Mapea cada incidente con las técnicas MITRE ATT&CK específicas (versión para entornos IT)
  • Asocia cada incidente con las funciones NIST-CSF (Identify, Protect, Detect, Respond, Recover)
  • Utiliza códigos de color para indicar visualmente la criticidad o tipo de incidente
  • Incorpora incidentes emergentes como “Inyección de requerimientos en modelos grandes de lenguaje (LLM)”

En conjunto, estas tres imágenes representan un enfoque integral que complementa significativamente la taxonomía oficial de la ANCI, proporcionando una clasificación más detallada y específica por entorno (IT/OT), con mapeo a marcos de referencia internacionales y controles de seguridad específicos, facilitando tanto el cumplimiento regulatorio como la implementación práctica de defensas efectivas.

TAXONOMIA IT/OT

La Ley N° 21.663, Marco de Ciberseguridad, publicada el 8 de abril de 2024, establece un hito fundamental en la regulación de la ciberseguridad en Chile, creando la Agencia Nacional de Ciberseguridad (ANCI) y estableciendo el deber de reportar incidentes de ciberseguridad para todas las organizaciones que proveen servicios esenciales. El Decreto N°295/2024, que entró en vigor el 1 de marzo de 2025, reglamenta los procedimientos específicos para el cumplimiento de esta obligación.

Obligación de Reporte y Plazos

De acuerdo con el artículo 9° de la ley y el artículo 2° del reglamento, las instituciones públicas y privadas que presten servicios calificados como esenciales tienen la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos. Este reporte debe realizarse siguiendo un esquema de tres etapas:

  1. Alerta Temprana: Debe enviarse dentro del plazo máximo de tres horas desde que se tiene conocimiento del incidente (Artículo 9° del reglamento).
  2. Segundo Reporte: Debe enviarse dentro de las setenta y dos horas para instituciones generales, o veinticuatro horas para operadores de importancia vital cuando se vea afectada la prestación de servicios esenciales (Artículo 10 del reglamento).
  3. Informe Final: Debe enviarse dentro de los quince días corridos desde el envío de la alerta temprana, siempre que el incidente haya sido gestionado (Artículo 12 del reglamento).

Definición de Incidente Significativo

El artículo 3° del reglamento establece que un incidente de ciberseguridad tiene efecto significativo si es capaz de producir alguno de los siguientes efectos:

a) Interrumpir la continuidad de un servicio esencial. b) Afectar la integridad física o la salud de las personas. c) Afectar la integridad o confidencialidad de activos informáticos, o la disponibilidad de alguna red o sistema informático. d) Utilizar o ingresar sin autorización a redes o sistemas informáticos. e) Afectar sistemas informáticos que contengan datos personales.

Para determinar la importancia de los efectos, se consideran factores como el número de personas afectadas, la duración del incidente y la extensión geográfica de la zona afectada.

La Ley N° 21.663, Marco de Ciberseguridad, publicada el 8 de abril de 2024, establece un hito fundamental en la regulación de la ciberseguridad en Chile, creando la Agencia Nacional de Ciberseguridad (ANCI) y estableciendo el deber de reportar incidentes de ciberseguridad para todas las organizaciones que proveen servicios esenciales. El Decreto N°295/2024, que entró en vigor el 1 de marzo de 2025, reglamenta los procedimientos específicos para el cumplimiento de esta obligación.

Taxonomía Oficial y Contenido del Reporte

Es fundamental enfatizar que la ANCI ha establecido una taxonomía oficial de incidentes de ciberseguridad que debe utilizarse obligatoriamente para los reportes regulatorios. Esta taxonomía oficial, establecida por ley y reglamento, es la única válida para el cumplimiento de las obligaciones de reporte. Según el artículo 5° del reglamento, estos informes deben contener como mínimo:

a) Datos para la debida identificación de la institución afectada b) Individualización y datos de contacto del delegado de ciberseguridad c) Fecha y hora del conocimiento del incidente y fecha estimada de inicio d) Evidencia de posible acción tipificada como delito e) Potenciales repercusiones en otras instituciones f) Indicios de la ocurrencia del incidente g) Activos y recursos potencialmente afectados h) Indicadores de compromiso detectados i) Cualquier otro dato útil para la gestión oportuna del incidente

La taxonomía académica desarrollada por el Profesor Vargas (2025) que se analiza en este artículo, si bien proporciona un marco de referencia valioso para la comprensión técnica y gestión interna de incidentes, no sustituye la taxonomía oficial de la ANCI para efectos de cumplimiento regulatorio.

Conclusión

La taxonomía de incidentes de seguridad constituye una herramienta fundamental para la gestión efectiva de la ciberseguridad organizacional, proporcionando un marco estructurado para la clasificación, comprensión y mitigación de diversas amenazas, así como para el cumplimiento de las nuevas obligaciones legales de reporte. El análisis desarrollado en este artículo ha permitido identificar y caracterizar las principales categorías de incidentes que afectan a las organizaciones contemporáneas, así como su alineación con marcos de referencia internacionales y el nuevo contexto regulatorio chileno.

Las cuatro categorías principales identificadas en la taxonomía desarrollada por el Profesor Vargas (2025) —acceso no autorizado, exfiltración de datos, indisponibilidad de servicios y modificación no autorizada— representan un espectro comprensivo de las amenazas actuales, cada una con subcategorías específicas que reflejan diferentes técnicas y vectores de ataque. La correlación establecida con marcos como MITRE ATT&CK, NIST-CSF, ISO 27002 y CIS Controls proporciona un contexto valioso para la implementación de controles y medidas de mitigación adaptadas a cada tipo de incidente.

La inclusión de una taxonomía especializada para entornos OT/ICS reconoce las particularidades de estos sistemas y sus requerimientos específicos de seguridad, ofreciendo un enfoque más holístico para organizaciones con infraestructuras convergentes IT/OT.

Es fundamental destacar que, si bien la taxonomía académica analizada en este artículo presenta un valor significativo para la comprensión técnica y la implementación de estrategias de seguridad, para el cumplimiento de las obligaciones legales de reporte establecidas por la Ley N° 21.663 y su reglamento, las organizaciones deben adherirse estrictamente a la taxonomía oficial establecida por la Agencia Nacional de Ciberseguridad (ANCI).

Las implicaciones prácticas de este estudio incluyen:

  1. La necesidad de desarrollar capacidades de detección y respuesta adaptadas a cada categoría de incidente
  2. La importancia de alinear las estrategias de seguridad con múltiples marcos de referencia para una protección integral
  3. El valor de un enfoque proactivo que priorice controles según el impacto potencial y la probabilidad de ocurrencia de diferentes tipos de incidentes
  4. La distinción clara entre herramientas académicas de comprensión y los requisitos regulatorios de reporte

En conclusión, una taxonomía bien estructurada de incidentes de seguridad representa una contribución significativa al campo de la ciberseguridad organizacional, proporcionando un marco conceptual robusto para la comprensión sistemática de los incidentes de seguridad y el desarrollo de estrategias defensivas efectivas, complementando —pero no sustituyendo— los marcos regulatorios establecidos por las autoridades competentes.

Referencias

Agencia Nacional de Ciberseguridad. (2025, 1 de marzo). Comienza obligación de reportar los incidentes de ciberseguridad a la ANCI. ANCI. https://portal.anci.gob.cl/noticias/2025/03/01/comienza-obligacion-reportar-incidentes-ciberseguridad

CIS. (2023). CIS Controls v8. Center for Internet Security. https://www.cisecurity.org/controls/v8

Ferreira, A., Brito, F., & Silva, R. (2023). Taxonomías de incidentes de seguridad: Un análisis comparativo. Revista Ibérica de Sistemas y Tecnologías de Información, 47, 113-127.

ISO. (2022). ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection. International Organization for Standardization.

Kumari, S., & Singh, D. (2023). A comprehensive analysis of unauthorized access incidents in enterprise environments. IEEE Transactions on Information Forensics and Security, 18(3), 590-603.

Langner, R. (2022). OT security challenges: From IT/OT convergence to cyber-physical attacks. Industrial Control Systems Security Journal, 8(2), 45-58.

Ministerio del Interior y Seguridad Pública. (2025, 1 de marzo). Decreto N°295/2024: Aprueba reglamento de reporte de incidentes de ciberseguridad de la Ley N° 21.663. Diario Oficial de la República de Chile, 44.088, 1-6.

MITRE. (2023). MITRE ATT&CK Framework. The MITRE Corporation. https://attack.mitre.org/

Mukherjee, A. (2022). Cybersecurity incident classification: Frameworks and methodologies. IEEE Security & Privacy, 20(4), 18-27.

NIST. (2023). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. National Institute of Standards and Technology. https://doi.org/10.6028/NIST.CSWP.04162018

Pacheco, J., Benitez, V., & Félix, P. (2021). DDoS attack evolution: Architecture, techniques and challenges. Computer Networks, 193, 108151.

República de Chile. (2024, 8 de abril). Ley N° 21.663, Marco de Ciberseguridad. Diario Oficial de la República de Chile.

Shackelford, S., Russell, S., & Haut, J. (2021). Bottoms up: A case study approach to making cybersecurity more manageable. Harvard Business Law Review, 11(2), 243-289.

Stouffer, K., Pillitteri, V., & Abrams, M. (2023). Guide to Industrial Control Systems Security. National Institute of Standards and Technology. NIST Special Publication 800-82 Rev. 3.

Vargas, P. (2025). Taxonomía Completa de Incidentes y Técnicas con Mapeo a Marcos de Seguridad. Documento técnico.

Walsh, T., & Johnson, P. (2023). Data integrity attacks: Patterns, impacts and defenses. ACM Computing Surveys, 55(3), 1-36.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo