es razonable perseguir al atacante contactando con el
ISP del propietario de IP?
Lo más probable es que no. Cualquier atacante moderadamente hábil simplemente robaría el wifi de otra persona o usaría un proxy. Luego, puede comunicarse con el ISP de ese proxy que probablemente se encuentra en algún lugar de Togo y nunca recibirá una respuesta. Si el atacante configura servidores para puertas traseras y similares, serán temporales o también alojados en el extranjero.
¿Hay un umbral de daño / costo que haga que valga la pena buscarlo?
Sí, pero ese umbral es realmente alto. Incluso cuando el daño es asombroso, perseguir a alguien a través de internet no es realmente efectivo ni hay ninguna esperanza de recuperar, por ejemplo, los activos robados. Una gran razón por la que el ciberdelito es tan rentable es el hecho de que es difícil rastrear a los atacantes.
Si la fuente del ataque es de otro país (Rusia, China), no tiene absolutamente ninguna posibilidad de atrapar al atacante. Por supuesto, lo mismo se aplica a muchos otros países.
¿Existe una manera relativamente estándar o productiva en la cual las empresas
(o individuos) lidiar con ataques a nivel legal?
Sí, al menos en Alemania. Esto depende en gran medida del marco nacional respectivo, por supuesto. Aquí, las infraestructuras críticas tienen una oficina central para reportar delitos cibernéticos y obtener ayuda externa, pero perseguir al atacante generalmente está fuera del alcance de la investigación. Las compañías incluso tienen para informar sobre ciertos ataques a la policía.
Sin embargo, como individuo privado, lo más probable es que solo pueda presentar una queja ante la policía. Y la policía es completamente incompetente en ese sentido.
Casi todos los métodos contra los ciberdelincuentes son mitigación y prevención, ya que es imposible encontrar a alguien que atacó desde el extranjero.