EquipoContacto

Indicadores de Compromiso (IOC)

DanielDaniel

Los indicadores de compromiso (IOC, por sus siglas en inglés) son evidencias que ayudan a identificar un posible ataque o intrusión. Estos indicadores pueden ser rastros dejados por actividades maliciosas y permiten identificar la presencia de amenazas, pudiendo incluir detalles técnicos como IPs involucradas en la presunta intrusión, dominios maliciosos, archivos utilizados, etc.

Este tipo de evidencias son fundamentales para detectar, investigar y responder a ataques en curso o posibles amenazas, aumentando las posibilidades de prevenir incidentes futuros. Los indicadores de compromiso suelen almacenarse en herramientas de seguridad como antivirus o sistemas de detección de intrusos (IDS).

Por ejemplo, al bloquear indicadores asociados a un ataque atribuido a un grupo de ciberdelincuentes como LockBit, es posible evitar que usen los mismos hashes, URLs o archivos en futuros intentos, disminuyendo la posibilidad de que repitan las mismas técnicas contra nuestros sistemas.

Algunos ejemplos de IOCs:

  • Direcciones IP maliciosas: Usadas para enviar comandos o extraer datos.
  • Hashes de archivos: Identificadores únicos de archivos utilizados por un actor malicioso.
  • Dominios sospechosos: Asociados con ataques de phishing o que forman parte de la infraestructura del actor malicioso.
  • Firmas de malware: Patrones específicos de malware detectados por un antivirus.
  • Comportamiento inusual: Actividad extraña en la red o sistema, como transferencias de datos anómalas o conexiones desde geografías irregulares

También es importante mencionar a los Indicadores de Ataque (IOAs, por sus siglas en inglés), no son tan conocidos como los IOCs, pero también tienen importancia en el ámbito de la ciberseguridad.

Reflejan la intención de una actividad maliciosa antes de que el daño ocurra. A diferencia de los IOCs, que se basan en rastros detectables después de un ataque (como archivos o IPs maliciosas), los IOAs se centran en el comportamiento y las técnicas usadas por los atacantes con el fin de prever y bloquear el ataque antes de que se complete.

Los IOAs identifican patrones de acciones sospechosas, como:

  • Accesos no autorizados a sistemas.
  • Escaneo de redes en busca de vulnerabilidades.
  • Intentos de escalada de privilegios.
  • Movimientos laterales dentro de una red.
Bibliografía
El ciclo de inteligenciaAnterior

El ciclo de inteligencia

MITRE ATT&CK & TTPs
Siguiente

MITRE ATT&CK & TTPs