¿Qué son los indicadores de compromiso (IOC)?
Los indicadores de compromiso (IOC) son pruebas forenses digitales que sugieren que se ha podido producir una brecha en un endpoint o una red. Al igual que las pruebas físicas, estas pistas digitales ayudan a los profesionales de la seguridad de la información a identificar actividades maliciosas o amenazas de seguridad, como brechas de datos, amenazas internas o ataques de malware.
Los investigadores pueden recopilar indicadores de compromiso manualmente tras detectar actividades sospechosas o de forma automática a través de las funciones de monitorización de ciberseguridad de la organización. Esta información se puede utilizar para mitigar un ataque en curso o corregir un incidente de seguridad existente, así como para crear herramientas "más inteligentes" que puedan detectar y poner en cuarentena archivos sospechosos en el futuro.
Por desgracia, la monitorización de IOA es reactiva por naturaleza, lo que significa que, si una organización detecta un indicador, muy probablemente ya estará comprometida. Dicho esto, si el ataque está en curso, la rápida detección de un IOC puede ayudar a contener los ataques en las fases iniciales del ciclo de vida del ataque, lo que limita su impacto.
A medida que los ciberdelincuentes se vuelven más sofisticados, los indicadores de compromiso también se vuelven más difíciles de detectar. Los IOC más comunes, como un hash md5, un dominio C2 o una dirección de IP, una clave de registro y un nombre de archivo codificados, cambian constantemente, lo que dificulta su detección.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraCómo identificar indicadores de compromiso
Cuando una organización es el objetivo o la víctima de un ataque, el ciberdelincuente dejará rastros de su actividad en el sistema y los archivos log. El equipo de Threat Hunting recopilará estos datos forenses digitales de los archivos y sistemas para determinar si se ha producido o está en curso una brecha de datos o una amenaza de seguridad.
La identificación de IOC corre a cargo casi exclusivamente de los expertos en seguridad de la información. A menudo, estos profesionales aprovechan la tecnología avanzada para escanear y analizar grandes cantidades de tráfico de red, así como para aislar actividad sospechosa.
Las estrategias de ciberseguridad más eficaces combinan recursos humanos con soluciones tecnológicas avanzadas, como la inteligencia artificial, el aprendizaje automático y otras formas de automatización inteligente, para detectar mejor cualquier actividad anómala y mejorar el tiempo de respuesta y corrección.
Motivos por los que tu organización debería monitorizar los indicadores de compromiso
La capacidad de detectar indicadores de compromiso es un elemento clave de cualquier estrategia integral de ciberseguridad. Los IOC pueden ayudar a mejorar la precisión y velocidad de los procesos de detección, así como el tiempo necesario para la corrección. En líneas generales, cuanto antes detecte una organización un ataque, menor impacto tendrá en el negocio y más fácil será resolverlo.
Los IOC, especialmente los recurrentes, ofrecen a la organización una visión de las técnicas y metodologías que utilizan los ciberdelincuentes. Gracias a ello, las organizaciones pueden incorporar estos datos clave en sus herramientas de seguridad, sus sistemas de respuesta ante incidentes y sus directivas de ciberseguridad para prevenir futuros ataques.
Ejemplos de indicadores de compromiso
¿Qué señales de advertencia busca el equipo de seguridad al investigar ciberamenazas y ataques? Algunos indicadores de compromiso son:
- Tráfico de red de entrada y salida inusual
- Irregularidades geográficas, como tráfico en países o ubicaciones donde la organización no tiene presencia
- Aplicaciones desconocidas en el sistema
- Actividad inusual del administrador o de cuentas con privilegios, como solicitudes de permisos adicionales
- Aumento de los inicios de sesión incorrectos o solicitudes de acceso que podrían indicar ataques de fuerza bruta
- Actividad anómala, como un aumento del volumen de lectura de la base de datos
- Gran número de solicitudes para el mismo archivo
- Cambios sospechosos en los archivos del sistema o el registro
- Solicitudes de servidores de nombres de dominio (DNS) y configuraciones de registro inusuales
- Cambios en la configuración no autorizados, por ejemplo, en los perfiles de dispositivos móviles
- Grandes cantidades de archivos comprimidos o paquetes de datos en ubicaciones incorrectas o inexplicables
Diferencia entre los indicadores de compromiso (IOC) y los indicadores de ataque (IOA)
Un indicador de ataque (IOA) es similar a un IOC en el hecho de que ambos son artefactos digitales que ayudan a los equipos de seguridad de la información a evaluar brechas o incidentes de seguridad. Sin embargo, a diferencia de los IOC, los IOA son activos por naturaleza y se centran en identificar los ciberataques en curso. Además, analizan la identidad y motivación del atacante, mientras que los IOC solo indican a la organización que se han producido incidentes.
Kurt Baker ocupa el cargo de Senior Director of Product Marketing para Falcon Intelligence de CrowdStrike. Cuenta con más de 25 años de experiencia en puestos directivos de alto nivel y su especialidad son las empresas de software emergentes. Es experto en inteligencia sobre amenazas, análisis de seguridad, gestión de la seguridad y protección avanzada frente a amenazas. Antes de incorporarse a CrowdStrike, Baker desempeñaba cargos técnicos en Tripwire y ha participado en la fundación de startups en mercados que van desde las soluciones de seguridad para empresas hasta los dispositivos móviles. Posee una licenciatura en filosofía y letras de la Universidad de Washington y en la actualidad reside en Boston, Massachusetts (EE. UU.).
