Como regla general, este es un esfuerzo infructuoso.
Es muy raro que un hacker inicie sesión desde la IP de su hogar o desde cualquier servidor directamente rastreable hasta él. Es mucho más común que los piratas informáticos utilicen objetivos previamente pirateados como puntos de arranque para futuros ataques. A menudo, los atacantes también usarán otros relés (como defensores de IRC o redes públicas de IRC) para transmitir comandos a servidores infectados.
A menudo, puede rastrear el ataque hasta el servidor desde el que se lanzó el ataque, pero eso casi con certeza no pertenecerá al perpetrador. Teóricamente, puede obtener los registros de ese servidor e intentar rastrear el ataque salto por salto. Pero en la práctica, esto nunca sucede. A menudo, los ataques cruzan las fronteras políticas haciendo que este tipo de cooperación sea efectivamente imposible. Además, incluso si puede rastrear su IP original, muchas veces pertenecerá a un lugar que no le sea directamente rastreable, como una cafetería o un cibercafé.
Pero si tiene los registros, puede ser útil obtener la dirección IP del último salto principalmente porque luego puede analizar todos los registros de tráfico relacionados con esa IP para ver cómo y cuándo ocurrió el ataque y para ayudarlo a identificar componentes de ataque adicionales que puede haber perdido.
En cuanto a cómo son atrapados estos hackers
Muy raramente, el ataque se remonta directamente al perpetrador, ya que cubrir sus huellas es bastante simple. En cambio, los atacantes se encuentran por otros medios. Por ejemplo: rastrear a alguien que se jactó del ataque a IRC, analizar el uso de información robada, identificar la cuenta de Twitter de alguien que se acreditó por el ataque, o simplemente hacer trampas por parte de ex amigos o informantes.