Los IoCs incluyen hashes de archivos (MD5, SHA256), direcciones IP, dominios, URLs, claves de registro modificadas, nombres de procesos y patrones de tráfico de red.
Qué es indicador de compromiso
Un indicador de compromiso (IoC) es una evidencia técnica que sugiere que un sistema o red ha sido comprometido. Incluye direcciones IP, hashes de archivos, dominios, URLs, patrones de tráfico o artefactos en el sistema que permiten detectar, investigar y contener amenazas de seguridad.
Por qué importa
Los IoCs son la base de la ciberseguridad defensiva operativa. Permiten a los equipos de seguridad identificar si una amenaza conocida está presente en su entorno, priorizar la investigación de alertas y compartir inteligencia con otras organizaciones. Sin IoCs actualizados, un SOC opera a ciegas: las herramientas de detección no pueden buscar lo que no conocen. Los IoCs alimentan las reglas de los SIEM, los feeds de threat intelligence y las plataformas EDR. Además, la velocidad de distribución de IoCs tras un incidente puede marcar la diferencia entre contener un ataque en horas o sufrirlo durante meses. Las organizaciones maduras no solo consumen IoCs externos, sino que generan los suyos propios a partir de investigaciones forenses internas.
Puntos clave
Se clasifican por nivel de confianza: un hash de malware conocido es de alta confianza; una IP que también aloja tráfico legítimo es de baja confianza.
Tienen fecha de caducidad: un IoC de hace 6 meses probablemente ya no es relevante porque el atacante ha cambiado su infraestructura.
Los IoCs se comparten mediante estándares como STIX/TAXII y plataformas como MISP, OTX o VirusTotal.
Un IoC por sí solo no confirma compromiso: requiere contexto, investigación y correlación con otros indicadores.
Ejemplo de uso de IoCs en respuesta a incidentes
Un equipo de respuesta a incidentes identifica que un servidor ha sido comprometido. Mediante análisis forense, extraen IoCs: el hash SHA256 del malware, una dirección IP de comando y control (C2), un dominio utilizado para exfiltración y un nombre de tarea programada anómalo. El equipo carga estos IoCs en el SIEM. Inmediatamente, la herramienta encuentra que 7 servidores más tienen conexiones a la IP C2 y 15 endpoints ejecutaron un proceso con el mismo hash. Esto revela que el compromiso es más amplio de lo inicialmente detectado. Los IoCs se comparten con el sector a través de una plataforma MISP, permitiendo a otras organizaciones buscar proactivamente las mismas amenazas en sus entornos.
Errores habituales
- Depender exclusivamente de IoCs para detección. Los atacantes sofisticados cambian su infraestructura constantemente. Los IoCs deben complementarse con detección basada en comportamiento (TTPs).
- No actualizar las bases de datos de IoCs. Una base obsoleta proporciona falsa sensación de seguridad.
- No investigar las coincidencias. Encontrar un IoC no es suficiente: hay que determinar cuándo se infectó el sistema, qué otros indicadores existen y cuál fue el alcance.
- No contextualizar falsos positivos. No toda coincidencia con un IoC es un compromiso real. Algunos pueden ser cachés residuales o malware ya remediado.
- Publicar IoCs sin contexto de tácticas y técnicas (MITRE ATT&CK), lo que reduce su utilidad para otros equipos de seguridad.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué tipos de IoCs existen?
Los principales son: hashes de archivos (MD5, SHA1, SHA256), direcciones IP, dominios y URLs maliciosas, claves de registro modificadas, nombres de procesos o servicios anómalos, patrones de tráfico de red y artefactos en el sistema de archivos.
¿Cuál es la diferencia entre IoC e IoA?
Un IoC (indicador de compromiso) es evidencia de que un ataque ya ocurrió. Un IoA (indicador de ataque) detecta comportamiento sospechoso en tiempo real, antes de que el compromiso se materialice completamente. Los IoA son más difíciles de evadir.
¿Cómo se comparten los IoCs entre organizaciones?
Mediante estándares como STIX/TAXII, plataformas como MISP u OTX, feeds de threat intelligence comerciales y comunidades sectoriales (ISACs). La automatización es clave para que la distribución sea útil.
¿Cuánto tiempo es válido un IoC?
Depende del tipo. Un hash de malware puede ser válido meses, pero una IP de C2 puede cambiar en horas. Los equipos deben gestionar la caducidad de sus IoCs y priorizar los más recientes y de mayor confianza.