CATÁLOGO Y PRIORIZACIÓN DE VULNERABILIDADES E INCIDENTES

INICIALES

1. Objetivo

En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para

Coordinar la Gestión de Incidentes y Vulnerabilidad que afecten a la Seguridad de las
Redes y Servicios de Telecomunicaciones”, el presente documento tiene por objeto
definir el catálogo inicial de vulnerabilidades e incidentes que serán reportados por el
EcuCERT y que deberán ser gestionados por los prestadores de servicios de
telecomunicaciones.

Las vulnerabilidades e incidentes que no estén contenidos en este catálogo y que sean
reportadas a los prestadores de servicios de telecomunicaciones, estarán sujetas al
proceso de priorización según lo establecido en el artículo No. 8 Ibídem.

2. Consideraciones para la priorización de Incidentes y Vulnerabilidades

2.1 Generales

Para la priorización de vulnerabilidades e incidentes se ha tomado como criterio de

severidad, el hecho de que los sistemas vulnerables o atacados pertenezcan al
prestador de servicios de telecomunicaciones o a sus clientes y abonados. La
existencia de vulnerabilidades u ocurrencia de incidentes en la infraestructura de
prestadores de servicios será calificada con mayor impacto que aquella ocurrida en la
infraestructura de clientes y abonados.

El prestador de servicios de telecomunicaciones deberá definir procesos de gestión de

vulnerabilidades e incidentes en consideración al número de días establecidos por la
prioridad asignada en este documento, según lo establecido en el artículo 22 de la
“Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidad que afecten
a la Seguridad de las Redes y Servicios de Telecomunicaciones”.

2.1 Priorización de Vulnerabilidades

En consideración al amplio espectro de plataformas, tecnologías y sistemas

correspondientes a la infraestructura propia de los prestadores de servicios de
telecomunicaciones, así como la de sus clientes y abonados, en el presente
documento se asigna una prioridad referencial a cada vulnerabilidad, basada en
métricas relacionadas con la explotación de dichas vulnerabilidades y su impacto en
el ámbito de la seguridad de la información.

Para la asignación de la prioridad referencial se ha considerado los siguientes

sistemas de métricas internacionales de severidad de vulnerabilidades:

No Nombre Acrónimo

1 Common Vulnerability and Exposure CVE

2 Common Vulneravility Scoring System CVSS

3 Extensible Configuration Checklist Description Format XCCDF
 No Nombre Acrónimo

4 Open Vulnerability Assessment Language OVAL

5 Common Configuration Enumeration CCE
6 Common Weakness Enumeration CWE
7 Common Platform Enumeration CPE
8 Common Configuration Scoring System CCSS
9 Open Checklist Interactive Language OCIL
10 Asset Reporting Format ARF
11 Security Content Automation Protocol SCAP
12 Open Web Application Security Protocol OWASP

Tabla No. 1 Sistemas Internacionales de métricas de severidad de vulnerabilidades

2.2 Priorización de Incidentes

La priorización de incidentes ha considerado el nivel de importancia que tienen los

elementos de red de los prestadores de servicios de telecomunicaciones, en relación
a la prestación del servicio a sus clientes y abonados de acuerdo a lo establecido en
la normativa vigente.

3. Asignación de prioridades.

3.1 Prioridades de Vulnerabilidades

3.1.1 Prioridad para infraestructura de Prestadores de Servicios de
Telecomunicaciones

La Tabla No. 2 presenta las vulnerabilidades asociadas a direcciones IP que

corresponden a la infraestructura del prestador de servicios de telecomunicaciones
para la prestación del servicio, que inicialmente serán reportadas por el EcuCERT y
su priorización referencial para la gestión correspondiente por parte del prestador.

Prioridad
No Vulnerabilidad Nombre Descripción del riesgo Infraestructura
Prestador

Un atacante podría acceder de manera no

Accesible Remote autorizada al sistema de información vulnerando
1 Accesible_RDP Critica
Desktop Protocol la confidencialidad, integridad y disponibilidad
del sistema
Un atacante podría hacer que un sistema de
Base de datos información ejecute código malicioso lo cual a su
2 Open_MongoDB Critica
MongoDB vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

información ejecute código malicioso lo cual a su
3 Cisco_Smartinstall Cisco SmartInstall Critica
vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Open_Memcache mem-cashed memory información ejecute código malicioso lo cual a su
4 Critica
d caching system vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema
 Prioridad
No Vulnerabilidad Nombre Descripción del riesgo Infraestructura
Prestador

Un atacante podría acceder de manera no

autorizada al sistema de información vulnerando
5 Netis_Router Routers Netis Critica
la confidencialidad, integridad y disponibilidad
del sistema
Un atacante podría acceder de manera no
Intelligent Platform autorizada al sistema de información vulnerando
6 Open_IPMI Alta
Management Interface la confidencialidad, integridad y disponibilidad
del sistema
Un atacante podría utilizar el servidor DNS
DNS_Open_Resolv DNS Domain Name
7 Vulnerable a fin de ejecutar ataques a sistemas Alta
er System - Open Resolver
de información
Un atacante podría interceptar conexiones HTTPS
Factoring Attack on
8 Freak_SSL y posteriormente decifrar su vulnerando la Alta
RSA Export
confidencialidad de la información transmitida
Un atacante podría hacer que un sistema de
Lightweight Directory información ejecute código malicioso lo cual a su
9 LDAP Alta
Access Protocol vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Open_SQL_Server Microsoft SQL Server información ejecute código malicioso lo cual a su
10 Alta
_Resl Resolution vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Multicast Domain información ejecute código malicioso lo cual a su
11 Mdns Alta
Name System vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Network Address
información ejecute código malicioso lo cual a su
12 NAT_PMP Translation Port Alta
vez vulnere la confidencialidad, integridad y
Mapping Protocol
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Network Basic Input información ejecute código malicioso lo cual a su
13 Open_Netbios Alta
Output System vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Netwwork Timpe información ejecute código malicioso lo cual a su
14 NTP_Version Alta
Protocol Version vez vulnere la disponibilidad de la información de
dicho sistema
Un atacante podría hacer que un sistema de
Open Character información ejecute código malicioso lo cual a su
15 Open_Chargen Alta
Generator Protocol vez vulnere la disponibilidad de la información de
dicho sistema
Un atacante podría hacer que un sistema de
Padding on Oracle on
información ejecute código malicioso lo cual a su
16 Poodle_SSLv3 Downgraded Legacy Media
vez vulnere la disponibilidad de la información de
Encryption
dicho sistema
Un atacante podría hacer que un sistema de
Remote Dictionary información ejecute código malicioso lo cual a su
17 Open_Redis Alta
Server Redis vez vulnere la confidencialidad de la información
de dicho sistema
Un atacante podría acceder de manera no
autorizada al sistema de información vulnerando
18 Open_Telnet Teletype Network Alta
la confidencialidad, integridad y disponibilidad
del sistema
 Prioridad
No Vulnerabilidad Nombre Descripción del riesgo Infraestructura
Prestador

Un atacante podría hacer que un sistema de

CPE Customer Premise
información ejecute código malicioso lo cual a su
19 CWMP Equipment WAN Media
vez vulnere la confidencialidad, integridad y
Management Protocol
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

información ejecute código malicioso lo cual a su
20 Scan_Elasticsearch Elastic search Media
vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Internet Security
información ejecute código malicioso lo cual a su
21 ISAKMP Association and Key Media
vez vulnere la confidencialidad, integridad y
Management Protocol
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Open_NTP_monit Network Time Protocol información ejecute código malicioso lo cual a su
22 Media
or Monitor vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

información ejecute código malicioso lo cual a su
23 Open_Proxy Open Proxy Server Media
vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Open Simple Service información ejecute código malicioso lo cual a su
24 Open_SSDP Media
Discovery Protocol vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Relational DataBase información ejecute código malicioso lo cual a su
25 Open_DB2 Media
Management System vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Server Message Block información ejecute código malicioso lo cual a su
26 Open_SMB Media
SMB vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema

Un atacante podría hacer que un sistema de

Simple Network
información ejecute código malicioso lo cual a su
27 Open_SNMP Management Protocol Media
vez vulnere la confidencialidad, integridad y
SNMP
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Open Quote of the Day información ejecute código malicioso lo cual a su
28 Open_Qotd Baja
QOTD vez vulnere la disponibilidad de la información de
dicho sistema
Un atacante podría acceder de manera no
Remote Procedure Call autorizada al sistema de información vulnerando
29 Open_Portmapper Baja
RCP Port mapper la confidencialidad, integridad y disponibilidad
del sistema
Un atacante podría hacer que un sistema de
Trivial File Transfer información ejecute código malicioso lo cual a su
30 Open_TFTP Baja
Protocol vez vulnere la confidencialidad, integridad y
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
Virtual Network
31 Open_VNC autorizada al sistema de información vulnerando Bajo
Computing
la confidencialidad del sistema
Un atacante podría acceder de manera no
X Display Manager
32 XDMCP autorizada al sistema de información vulnerando Bajo
Control Protocol
la confidencialidad del sistema
Tabla No. 2 Listado inicial de vulnerabilidades y su priorización referencial
 3.1.2 Prioridad para abonados y clientes

La Tabla No. 3 presenta las vulnerabilidades asociadas a direcciones IP que

corresponden a clientes y abonados del prestador de servicios de telecomunicaciones,
que inicialmente serán reportadas por el EcuCERT y su priorización referencial para
la gestión correspondiente por parte del prestador.

Prioridad Clientes
No Vulnerabilidad Nombre Descripción del riesgo
/Abonado
Un atacante podría acceder de manera no
autorizada al sistema de información vulnerando
1 Netis_Router Routers Netis
la confidencialidad, integridad y disponibilidad
Critica
del sistema
Un atacante podría acceder de manera no
Accesible Remote autorizada al sistema de información vulnerando
2 Accesible_RDP
Desktop Protocol la confidencialidad, integridad y disponibilidad
Alta
del sistema
Un atacante podría hacer que un sistema de
información ejecute código malicioso lo cual a su
3 Cisco_Smartinstall Cisco SmartInstall
vez vulnere la confidencialidad, integridad y
Alta
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Open_Memcache mem-cashed memory información ejecute código malicioso lo cual a su
4 d caching system vez vulnere la confidencialidad, integridad y
Alta
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Network Basic Input información ejecute código malicioso lo cual a su
5 Open_Netbios
Output System vez vulnere la confidencialidad, integridad y
Alta
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
Virtual Network
6 Open_VNC
Computing
autorizada al sistema de información vulnerando Alta
la confidencialidad del sistema
Un atacante podría hacer que un sistema de
Padding on Oracle on
información ejecute código malicioso lo cual a su
7 Poodle_SSLv3 Downgraded Legacy
vez vulnere la disponibilidad de la información de
Media
Encryption
dicho sistema
Un atacante podría hacer que un sistema de
CPE Customer Premise
información ejecute código malicioso lo cual a su
8 CWMP Equipment WAN
vez vulnere la confidencialidad, integridad y
Media
Management Protocol
disponibilidad de la información de dicho sistema
Un atacante podría utilizar el servidor DNS
DNS_Open_Resolv DNS Domain Name
9 er System - Open Resolver
Vulnerable a fin de ejecutar ataques a sistemas Media
de información
Un atacante podría interceptar conexiones HTTPS
Factoring Attack on
10 Freak_SSL
RSA Export
y posteriormente decifrar su vulnerando la Media
confidencialidad de la información transmitida
Un atacante podría hacer que un sistema de
Internet Security
información ejecute código malicioso lo cual a su
11 ISAKMP Association and Key
vez vulnere la confidencialidad, integridad y
Media
Management Protocol
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Lightweight Directory información ejecute código malicioso lo cual a su
12 LDAP
Access Protocol vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Multicast Domain información ejecute código malicioso lo cual a su
13 Mdns
Name System vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Network Address
información ejecute código malicioso lo cual a su
14 NAT_PMP Translation Port
vez vulnere la confidencialidad, integridad y
Media
Mapping Protocol
disponibilidad de la información de dicho sistema
 Prioridad Clientes
No Vulnerabilidad Nombre Descripción del riesgo
/Abonado
Un atacante podría hacer que un sistema de
Netwwork Timpe información ejecute código malicioso lo cual a su
15 NTP_Version
Protocol Version vez vulnere la disponibilidad de la información de
Media
dicho sistema
Un atacante podría hacer que un sistema de
Open Character información ejecute código malicioso lo cual a su
16 Open_Chargen
Generator Protocol vez vulnere la disponibilidad de la información de
Media
dicho sistema
Un atacante podría hacer que un sistema de
Relational DataBase información ejecute código malicioso lo cual a su
17 Open_DB2
Management System vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
Intelligent Platform autorizada al sistema de información vulnerando
18 Open_IPMI
Management Interface la confidencialidad, integridad y disponibilidad
Media
del sistema
Un atacante podría hacer que un sistema de
Base de datos información ejecute código malicioso lo cual a su
19 Open_MongoDB
MongoDB vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Open_NTP_monit Network Time Protocol información ejecute código malicioso lo cual a su
20 or Monitor vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
información ejecute código malicioso lo cual a su
21 Open_Proxy Open Proxy Server
vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Remote Dictionary información ejecute código malicioso lo cual a su
22 Open_Redis
Server Redis vez vulnere la confidencialidad de la información
Media
de dicho sistema
Un atacante podría hacer que un sistema de
Server Message Block información ejecute código malicioso lo cual a su
23 Open_SMB
SMB vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Simple Network
información ejecute código malicioso lo cual a su
24 Open_SNMP Management Protocol
vez vulnere la confidencialidad, integridad y
Media
SNMP
disponibilidad de la información de dicho sistema
Un atacante podría hacer que un sistema de
Open_SQL_Server Microsoft SQL Server información ejecute código malicioso lo cual a su
25 _Resl Resolution vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
autorizada al sistema de información vulnerando
26 Open_Telnet Teletype Network
la confidencialidad, integridad y disponibilidad
Media
del sistema
Un atacante podría hacer que un sistema de
Scan_Elasticsearc información ejecute código malicioso lo cual a su
27 h
Elastic search
vez vulnere la confidencialidad, integridad y
Media
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
Open_Portmappe Remote Procedure Call autorizada al sistema de información vulnerando
28 r RCP Port mapper la confidencialidad, integridad y disponibilidad
Baja
del sistema
Un atacante podría hacer que un sistema de
Open Quote of the Day información ejecute código malicioso lo cual a su
29 Open_Qotd
QOTD vez vulnere la disponibilidad de la información de
Baja
dicho sistema
Un atacante podría hacer que un sistema de
Open Simple Service información ejecute código malicioso lo cual a su
30 Open_SSDP
Discovery Protocol vez vulnere la confidencialidad, integridad y
Baja
disponibilidad de la información de dicho sistema
 Prioridad Clientes
No Vulnerabilidad Nombre Descripción del riesgo
/Abonado
Un atacante podría hacer que un sistema de
Trivial File Transfer información ejecute código malicioso lo cual a su
31 Open_TFTP
Protocol vez vulnere la confidencialidad, integridad y
Baja
disponibilidad de la información de dicho sistema
Un atacante podría acceder de manera no
X Display Manager
32 XDMCP
Control Protocol
autorizada al sistema de información vulnerando Bajo
la confidencialidad del sistema
Tabla No. 3 Listado inicial de vulnerabilidades y su priorización referencial

3.2 Incidentes.

3.2.1 Prioridad para infraestructura de Prestadores de Servicios de

Telecomunicaciones

La Tabla No. 4 presenta los incidentes asociados a direcciones IP que corresponden

a la infraestructura del prestador de servicios de telecomunicaciones para la prestación
del servicio, que inicialmente serán reportadas por el EcuCERT y su priorización
referencial para la gestión correspondiente por parte del prestador.

Prioridad
No Incidente Descripción Riesgos Infraestructura
Prestador

La dirección IP detectada hace

Daño a la reputación del
referencia a un sitio web cuyo
1 Defacement propietario de la Critica
contenido fue manipulado por un actor
infraestructura tecnológica.
malicioso
La dirección IP detectada hace
Perjuicio económico a los
referencia a una central telefónica IP
2 Fraude IPPBX administradores de la Central Critica
PBX la cual ha sido comprometida por
Telefónica
actores maliciosos
La dirección IP detectada hace Realización de ataques
referencia a un host comprometido y informáticos utilizando
3 Botnet Alta
manipulado remotamente por un actor infraestructura ubicada en el
malicioso territorio ecuatoriano
La dirección IP detectada hace
referencia a un host/servidor ubicado Engaño a usuarios para
4 Phishing Alta
en el territorio ecuatoriano que obtener información personal
almacena un sitio web fraudulento
La dirección IP detectada hace Realización de ataques
referencia a un host que ha realizado informáticos utilizando
5 Ataque DNS Alta
actividad maliciosa contra un sistema infraestructura ubicada en el
DNS territorio ecuatoriano
Vulneración de la
La dirección IP detectada hace
confidencialidad, integridad y
referencia a un servidor web el cual ha
6 Compromised Website disponibilidad de la Alta
sido comprometido y manipulado por
información contenida en el
un actor malicioso
servidor web
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host / servidor el cual
7 Command and Control ataques a sistemas de Alta
controla a otros sistemas con fines
información.
maliciosos
La dirección IP detectada hace
Vulneración de disponibilidad
referencia a un host el cual ha atacado
8 DDoS de servicios y operación de un Alta
un sistema de información con el
sistema de información
objetivo de suspender sus servicios
Bloqueo a infraestructura de
La dirección IP detectada hace
comunicaciones de
9 Blacklisted referencia a un host que ha sido Alta
prestadores de servicios de
bloqueado internacionalmente debido
telecomunicaciones
 Prioridad
No Incidente Descripción Riesgos Infraestructura
Prestador

a actividad maliciosa contra sistemas de

información

Engaño a usuarios para

La dirección IP detectada hace
obtener información personal
referencia a un host desde el cual se
10 SPAM y ejecución de técnicas de Alta
origina el envió de información no
ataque a sistemas de
solicitada
información
Vulneración de la
La dirección IP detectada hace
confidencialidad, integridad y
referencia a un host / server en el cual
11 Malware disponibilidad de la Media
se ha detectado un tipo específico de
información contenida en el
malware
host / server
Acceso no autorizado a
La dirección IP detectada hace sistemas y la consecuente
referencia a un host el cual ha intentado vulneración de la
12 Bruteforce Media
acceder a un sistema de información de confidencialidad, integridad y
manera no autorizada disponibilidad de la
información
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host desde el cual se
13 SQL Injection ataques a sistemas de Media
transmite código malicioso hacia
información.
sistemas de información
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host el cual abusa de un
14 Fast_Flux ataques a sistemas de Media
servicio DNS para ejecutar técnicas de
información.
ataques a sistemas de información
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host desde el cual se
15 Inyección de Código ataques a sistemas de Media
transmite código malicioso hacia
información.
sistemas de información
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host el cual estaría
16 Scanners ataques a sistemas de Media
analizando puertos abiertos y cerrados
información.
de un sistema de información especifico
La dirección IP detectada hace Realización de ataques
referencia a un host que enruta tráfico informáticos utilizando
17 Sinkhole Baja
de su destino original hacia otro lugar infraestructura ubicada en el
con intenciones maliciosas territorio ecuatoriano
Tabla No. 4 Listado inicial de incidentes y su priorización referencial

3.2.2 Prioridad para Abonados y Clientes

La Tabla No. 5 presenta los incidentes asociados a direcciones IP que corresponden

a clientes y abonados del prestador de servicios de telecomunicaciones, que
inicialmente serán reportadas por el EcuCERT y su priorización referencial para la
gestión correspondiente por parte del prestador.

Prioridad
No Incidente Descripción Riesgos Clientes
/Abonado
La dirección IP detectada hace
Perjuicio económico a los
referencia a una central telefónica IP
1 Fraude IPPBX administradores de la Central Critica
PBX la cual ha sido comprometida por
Telefónica
actores maliciosos
 Prioridad
No Incidente Descripción Riesgos Clientes
/Abonado
La dirección IP detectada hace Realización de ataques
referencia a un host que ha realizado informáticos utilizando
2 Ataque DNS Alta
actividad maliciosa contra un sistema infraestructura ubicada en el
DNS territorio ecuatoriano
La dirección IP detectada hace
Bloqueo a infraestructura de
referencia a un host que ha sido
comunicaciones de
3 Blacklisted bloqueado internacionalmente debido Alta
prestadores de servicios de
a actividad maliciosa contra sistemas
telecomunicaciones
de información
La dirección IP detectada hace Realización de ataques
referencia a un host comprometido y informáticos utilizando
4 Botnet Alta
manipulado remotamente por un actor infraestructura ubicada en el
malicioso territorio ecuatoriano
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host / servidor el cual
5 Command and Control ataques a sistemas de Alta
controla a otros sistemas con fines
información.
maliciosos
Vulneración de la
La dirección IP detectada hace
confidencialidad, integridad y
referencia a un servidor web el cual ha
6 Compromised Website disponibilidad de la Alta
sido comprometido y manipulado por
información contenida en el
un actor malicioso
servidor web
La dirección IP detectada hace
Daño a la reputación del
referencia a un sitio web cuyo
7 Defacement propietario de la Alta
contenido fue manipulado por un actor
infraestructura tecnológica.
malicioso
La dirección IP detectada hace
referencia a un host/servidor ubicado Engaño a usuarios para
8 Phishing Alta
en el territorio ecuatoriano que obtener información personal
almacena un sitio web fraudulento
Engaño a usuarios para
La dirección IP detectada hace
obtener información personal
referencia a un host desde el cual se
9 SPAM y ejecución de técnicas de Alta
origina el envió de información no
ataque a sistemas de
solicitada
información
Acceso no autorizado a
La dirección IP detectada hace sistemas y la consecuente
referencia a un host el cual ha vulneración de la
10 Bruteforce Media
intentado acceder a un sistema de confidencialidad, integridad y
información de manera no autorizada disponibilidad de la
información
La dirección IP detectada hace
Vulneración de disponibilidad
referencia a un host el cual ha atacado
11 DDoS de servicios y operación de un Media
un sistema de información con el
sistema de información
objetivo de suspender sus servicios
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host el cual abusa de un
12 Fast_Flux ataques a sistemas de Media
servicio DNS para ejecutar técnicas de
información.
ataques a sistemas de información
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host desde el cual se
13 Inyeccion de Código ataques a sistemas de Media
transmite código malicioso hacia
información.
sistemas de información
Vulneración de la
La dirección IP detectada hace
confidencialidad, integridad y
referencia a un host / server en el cual
14 Malware disponibilidad de la Media
se ha detectado un tipo específico de
información contenida en el
malware
host / server
La dirección IP detectada hace
referencia a un host el cual estaría Ejecución de varias técnicas de
15 Scanners analizando puertos abiertos y cerrados ataques a sistemas de Media
de un sistema de información información.
especifico
 Prioridad
No Incidente Descripción Riesgos Clientes
/Abonado
La dirección IP detectada hace
Ejecución de varias técnicas de
referencia a un host desde el cual se
16 SQL Injection ataques a sistemas de Media
transmite código malicioso hacia
información.
sistemas de información
La dirección IP detectada hace Realización de ataques
referencia a un host que enruta tráfico informáticos utilizando
17 Sinkhole Baja
de su destino original hacia otro lugar infraestructura ubicada en el
con intenciones maliciosas territorio ecuatoriano
Tabla No. 5 Listado inicial de incidentes y su priorización referencial

4. Referencias

• https://cve.mitre.org/
• https://www.first.org/cvss/
• https://nvd.nist.gov/scap/xccdf/docs/xccdf-spec-1.1.4-20071102.pdf
• https://oval.mitre.org/
• https://cce.mitre.org/
• https://cwe.mitre.org/
• https://cpe.mitre.org/
• https://www.nist.gov/publications/common-configuration-scoring-system-ccss-
metrics-software-security-configuration
• https://csrc.nist.gov/projects/security-content-automation-
protocol/specifications/ocil
• https://csrc.nist.gov/projects/security-content-automation-
protocol/specifications/arf
• https://csrc.nist.gov/projects/security-content-automation-protocol/scap-
releases/scap-1-2
• https://www.owasp.org/index.php/Main_Page