® 
IOC (Indicador de Compromiso)
Definicion
Un IOC es un artefacto digital que indica un posible ciberataque. Ejemplos: direcciones IP sospechosas, hashes de malware.
Un Indicador de Compromiso (IOC) es una huella o artefacto digital que senala un posible o confirmado ciberataque. Los IOC forman la base de la deteccion reactiva de amenazas y se comparten globalmente a traves de plataformas de inteligencia de amenazas para ayudar a las organizaciones a identificar amenazas conocidas mas rapidamente.
Como funcionan los IOC?
Los IOC son huellas concretas y observables que quedan tras un ciberataque o que indican actividad maliciosa en curso. Cuando se descubre una nueva variante de malware, los IOC asociados se extraen y comparten con la comunidad de seguridad. Las herramientas de seguridad como SIEM, EDR y cortafuegos comparan continuamente la actividad de red con IOC conocidos. Cuando hay una coincidencia, se genera una alerta para el equipo SOC. Los IOC se distribuyen mediante feeds de inteligencia de amenazas en formatos estandarizados como STIX y TAXII.
Tipos de IOC
Los IOC de red incluyen direcciones IP sospechosas, nombres de dominio y URL asociados con servidores de comando y control o campanas de phishing. Los IOC basados en host incluyen hashes de archivos (MD5, SHA-256), claves de registro sospechosas y procesos inusuales. Los IOC de correo electronico incluyen direcciones de remitente y hashes de archivos adjuntos de campanas de phishing conocidas. Los indicadores de comportamiento describen patrones como transferencias de datos inusuales.
IOC versus IOA
Los IOC son reactivos: detectan amenazas conocidas basandose en huellas previamente identificadas. Los Indicadores de Ataque (IOA) son proactivos: reconocen comportamiento de ataque independientemente del malware especifico. Una operacion de seguridad madura combina ambos.
Impacto para las organizaciones
Sin deteccion basada en IOC, las organizaciones pierden amenazas conocidas ya identificadas por otras organizaciones. Compartir IOC a traves de ISACs y plataformas de inteligencia de amenazas es un componente central de la ciberresiliencia colectiva. NIS2 fomenta el intercambio de informacion sobre ciberamenazas entre organizaciones. Los centros nacionales de ciberseguridad publican regularmente IOC relacionados con campanas de amenazas actuales.
Proteccion
Implemente coincidencia automatizada de IOC en SIEM, EDR y cortafuegos. Suscribase a feeds de inteligencia de amenazas de fuentes fiables. Automatice el bloqueo de IOC de alta confianza mediante SOAR. Mantenga las bases de datos de IOC actualizadas. Combine la deteccion de IOC con analisis de comportamiento para una imagen de deteccion completa.
Como ayuda DEFION
DEFION ofrece Managed Threat Intelligence donde los IOC actuales se integran continuamente en el entorno de monitorizacion. El equipo SOC correlaciona las coincidencias de IOC con un contexto de amenazas mas amplio.