Hay varios criterios posibles para clasificar riesgos. Una clasificación simple es según el la fuente del problema:
Hechos fortuitos
Ataques externos (a través de la red)
Ataques internos (usando acceso directo a los sistemas, o privilegios de usuario normal)
Para nuestros efectos, los hechos fortuitos son los menos interesantes (Tal vez por ser menos "computacionales", pero no por eso menos destructivos: Recuérdese la inundación de ECOM, en su época la empresa que manejaba los sistemas de buena parte de Chile en sus máquinas. Una combinación de lluvias intensas, sala de máquinas subterránea, y respaldos guardados en el mismo subterráneo casi acaba con la empresa).
Los ataques externos son los más temidos (el cine ha glorificado la figura del adolescente con un PC, un modem, y demasiado tiempo libre). Sin embargo, no son éstos los más frecuentes, ni lejos los más dañinos.
Los ataques internos son lejos los más frecuentes (las estadísticas indican que son cerca de un 85% de los casos de ataques que se registran).
Un tipo de ataque particularmente insidioso es lo que se llama ingeniería social. Se refiere a engañar a una persona para que entregue información (por ejemplo, llamando por teléfono e indicando que es el supervisor, solicitando alguna clave "olvidada" con voz autoritaria) o inicie la acción destructiva (como en el caso del infame I LOVE YOU, ¿quién es capaz de resistir leer una supuesta declaración de amor de parte de algún miembro del sexo opuesto al que conoce en la oficina?).
Una clasificación adicional se puede hacer por los objetivos de los atacantes:
Ataques dirigidos a un blanco específico. Esto incluye desde espionaje industrial hasta el simple desafío por ingresar a sitios protegidos, pasando por vandalismo puro (destruir páginas web, borrar o destruir datos, etc).
Ataques al azar. En esta clasificación cae la creación de virus y gusanos.
Reclutamiento para ataques dirigidos. Una de las técnicas nuevas (se estrenó a principios del 2000) es penetrar un gran número de máquinas independientes, con la intención de usarlas para lanzar ataques de saturación coordinados ("Distributed Denial of Service", DDoS) contra blancos escogidos. De ésto fueron víctimas entre otros Amazon y eBay.
Otra clasificación útil considera las técnicas usadas. Se puede distinguir entre:
Verdaderos crackers, con algún conocimiento de los sistemas atacados. Son los más peligrosos, pero afortunadamente los menos. Sin embargo, las vulnerabilidades que éstos descubren, y las herramientas que desarrollan para aprovecharlas, normalmente se difunden rápidamente entre la segunda categoría.
Los llamados script kiddies (traduccion libre sería "mocosos que usan scripts"; análisis detallado de un incidente que permitió obtener luces de los motivos y grado de conocimiento de los atacantes se encuentra en Know Your Enemy: Motives ), son típicamente adolescentes cuya entretención consiste en coleccionar y usar herramientas que detectan vulnerabilidades y las explotan. La técnica básica es revisar y clasificar grandes números de sistemas (generalmente al azar), con la intención de crear bases de datos de máquinas potencialmente vulnerables. Al descubrirse alguna nueva vulnerabilidad, usan la base de datos para identificar blancos prometedores. Normalmente nada saben de los sistemas atacados (clásico fue el caso en que uno de éstos se hizo root en una máquina Sun (corriendo Unix), para dar el comando format c:). Se caracterizan por el uso de herramientas automatizadas para identificar víctimas potenciales, e incluso para penetrarlas (de allí el apelativo).
Nótese que ésta es una clasificación más que nada por modus operandi, un cracker buscando montar un ataque DDoS probablemente use técnicas de script kiddie para reclutar máquinas con las cuales llevar a cabo su propósito.