Los IOC (Indicators of Compromise, también “Indicadores de Compromiso” o “Indicadores de Intrusión”) son artefactos observables en un sistema o red que indican una intrusión o compromiso, proporcionando evidencia de que una amenaza cibernética ha comprometido la seguridad. Estos indicadores pueden incluir patrones de tráfico de red anómalos, archivos maliciosos, modificaciones en registros del sistema, actividad de usuario sospechosa o cambios en configuraciones, siendo fundamentales para la detección temprana de amenazas y el análisis forense.

¿Qué son los IOC?

Los IOC son evidencias que sugieren que un sistema o red ha sido comprometido por una amenaza cibernética.

Tipos de IOC

IOC de Red

• IPs maliciosas: Direcciones IP sospechosas
• Dominios: Dominios maliciosos
• URLs: URLs maliciosas
• Puertos: Puertos utilizados por malware

IOC de Archivos

• Hashes: Hashes de archivos maliciosos
• Nombres: Nombres de archivos sospechosos
• Rutas: Rutas de archivos maliciosos
• Tamaños: Tamaños de archivos sospechosos

IOC de Sistema

• Procesos: Procesos maliciosos
• Servicios: Servicios sospechosos
• Registro: Entradas de registro maliciosas
• Eventos: Eventos del sistema

IOC de Comportamiento

• Comunicaciones: Comunicaciones sospechosas
• Accesos: Accesos anómalos
• Actividades: Actividades inusuales
• Patrones: Patrones de comportamiento

Clasificación

Nivel de Confianza

• Alto: Alta confianza en la malicia
• Medio: Confianza media
• Bajo: Baja confianza
• Desconocido: Desconocido

Tipo de Amenaza

• Malware: Indicadores de malware
• APT: Indicadores de APT
• Botnet: Indicadores de botnet
• Phishing: Indicadores de phishing

Fuentes de IOC

Comerciales

• Threat Intelligence: Servicios de inteligencia
• Vendors: Proveedores de seguridad
• CERTs: Equipos de respuesta
• Gobiernos: Agencias gubernamentales

Open Source

• MISP: Plataforma de sharing
• OpenCTI: Plataforma de threat intelligence
• Feeds: Feeds de threat intelligence
• Comunidad: Comunidad de seguridad

Internos

• SIEM: Sistemas de gestión de eventos
• EDR: Sistemas de detección de endpoints
• Logs: Análisis de logs
• Forensics: Análisis forense

Implementación

Recopilación

• Automatización: Recopilación automática
• APIs: Integración con APIs
• Feeds: Suscripción a feeds
• Manual: Recopilación manual

Procesamiento

• Normalización: Normalización de datos
• Enriquecimiento: Enriquecimiento de contexto
• Correlación: Correlación de eventos
• Análisis: Análisis de patrones

Aplicación

• Detección: Sistemas de detección
• Bloqueo: Sistemas de bloqueo
• Alertas: Sistemas de alertas
• Respuesta: Sistemas de respuesta

Herramientas

Gestión

• MISP: Plataforma de gestión
• OpenCTI: Plataforma de threat intelligence
• ThreatConnect: Plataforma comercial
• Anomali: Plataforma comercial

Análisis

• YARA: Motor de reglas
• Sigma: Reglas de detección
• STIX/TAXII: Estándares de threat intelligence
• IOC Editor: Editor de IOC

Mejores Prácticas

Calidad

• Verificación: Verificar IOC antes de usar
• Contexto: Proporcionar contexto
• Actualización: Mantener actualizados
• Depuración: Depurar IOC obsoletos

Compartir

• Estándares: Usar estándares
• Formato: Formato consistente
• Metadatos: Incluir metadatos
• Privacidad: Considerar privacidad

Aplicación

• Priorización: Priorizar IOC
• Contexto: Aplicar contexto
• Monitoreo: Monitorear efectividad
• Mejora: Mejorar continuamente

Conceptos Relacionados

• Brechas de seguridad - Incidentes que generan IOC
• Vectores de ataque - Métodos que generan IOC
• Paciente 0 - Sistema que genera IOC
• APT - Amenazas que generan IOC
• Incident Response - Proceso que utiliza IOC
• Ethical Hacking - Metodología que identifica IOC
• Pruebas de penetración - Técnica que genera IOC
• SIEM - Sistema que correlaciona IOC
• SOAR - Automatización que procesa IOC
• EDR - Herramienta que detecta IOC
• Firewall - Dispositivo que genera IOC
• CISO - Rol que gestiona IOC

Referencias

• STIX/TAXII
• MISP
• OpenCTI
• YARA