Glosario

#IOC #respuesta a incidentes #inteligencia de amenazas #detección

Qué es un IOC (Indicador de Compromiso): rastros que revelan una brecha

Un IOC (Indicador de Compromiso) es un rastro dejado por una brecha que ya ocurrió: un hash de archivo sospechoso, la IP o el dominio de un atacante, un proceso inusual. El significado y los tipos, cómo cotejarlos contra tus registros y el límite (los rastros son reactivos y fáciles de cambiar), en clave defensiva.

Publicado 2026-06-11 Actualizado 2026-06-11 5 min de lectura

"¿Cómo sé si me han comprometido?": las pistas son los IOC (Indicadores de Compromiso). Aquí tienes el significado y los tipos, cómo usarlos y por qué no deberías confiar en exceso en ellos, todo en clave defensiva (sin pasos de ataque).

Los principales tipos de IOC

Se dividen en cuatro, según "dónde cae el rastro".

Red

IPs, dominios, URLs de destino

Archivo

Hashes de malware, nombres delatores

Host

Procesos raros, cambios en el registro

Comportamiento

Envíos masivos nocturnos, inicios de sesión raros

Tipo	Ejemplos	Dónde lo cotejas
Red	IP/dominio del servidor del atacante, URL de C2	Registros de firewall / proxy / DNS
Archivo	Hash SHA-256 de malware, nombre de archivo distintivo	EDR / antivirus / listado de archivos
Host	Clave de registro sospechosa, proceso residente desconocido	Registros del SO, lista de procesos
Comportamiento	Inicio de sesión a una hora/país inusual, tráfico masivo repentino	Registros de autenticación, monitoreo de tráfico

IOC vs IOA: "rastro" vs "comportamiento"

El contraste habitual es el IOA (Indicador de Ataque). La diferencia muestra tanto la fortaleza del IOC como su debilidad.

IOC (Indicador de Compromiso) = un rastro del resultado

Evidencia de lo que ya ocurrió (hashes, IPs)
Se puede cotejar mecánicamente contra lo malo conocido — rápido
Pero los atacantes lo cambian con facilidad (desechable)
Inherentemente reactivo

IOA (Indicador de Ataque) = comportamiento en curso

El flujo de la técnica: escalada de privilegios → movimiento lateral → exfiltración
Lo atrapa más cerca del tiempo real
Más difícil de cambiar que un rastro (es la esencia del ataque)
Más pesado de adoptar — requiere entender la mecánica

Cuán "cambiable" es cada uno para el atacante (la pirámide del dolor)

Incluso entre los IOC, el esfuerzo que necesita un atacante para cambiar uno —es decir, cuánto le duele que lo atrapes— varía enormemente. Más abajo es más fácil de cambiar; más arriba es más difícil.

Técnicas / TTP (lo más difícil de cambiar = lo más efectivo)

Herramientas

Nombres de dominio

Direcciones IP, hashes de archivos (cambiados en un instante)

Abajo = los atacantes lo cambian al instante (bajo impacto). Arriba = difícil de cambiar (alto impacto).

Así que cotejar hashes e IPs funciona rápido pero caduca rápido. Cuanto más entiendes la técnica (cómo atacan), más perdura tu defensa.

Usar los IOC incluso a pequeña escala

Incluso sin un EDR dedicado ni una suscripción de inteligencia de amenazas, hay un mínimo realista que puedes hacer.

Obtén los IOC de fuentes de confianza

Usa los IOC publicados en divulgaciones oficiales de brechas, avisos de autoridades/CSIRT e informes de proveedores reputados. No uses una lista de origen desconocido.

Cotéjalos contra tus registros y dependencias

Coteja las IPs/dominios/hashes compartidos contra tus registros de acceso, registros de DNS y paquetes de dependencias (p. ej., ante una divulgación de cadena de suministro, comprueba si usas la misma versión envenenada).

Ante un acierto, aísla e investiga

Corta el dispositivo/clave/token afectado y delimita el impacto, luego restaura según tu plan de copias de seguridad y recuperación.

Registra tus propios IOC y extiende la comprobación

Anota los rastros que encontraste y amplía la inspección a otros dispositivos y servicios en busca de las mismas señales.

La opinión de este sitio: un IOC es una 'marca de quemadura tras el fuego' — el verdadero objetivo es no arder

El cotejo de IOC importa, pero es inspeccionar las marcas de quemadura tras un fuego. Para cuando aparece un rastro, ya estás comprometido. Por eso en este sitio mantenemos el cotejo de IOC como herramienta de inspección, mientras ponemos el peso en un diseño que no arda: mínimo privilegio, parcheo rápido (monitoreo de CVE), MFA resistente al phishing y nunca guardar secretos en texto plano. Una defensa que se apoya en el cotejo reactivo de rastros siempre va un paso por detrás. La capacidad de "notar" vía rastros y la capacidad de "prevenir" que los rastros existan son dos ruedas que quieres juntas.

Sigue leyendo

Glosario: Qué es un CVE (el identificador del agujero) · Qué es el ransomware · Qué es el phishing
Recuperación: Fundamentos de copias de seguridad y recuperación

FAQ

Q¿Qué es un IOC?

Abreviatura de Indicator of Compromise (Indicador de Compromiso): un rastro dejado por una brecha que ya ocurrió. En concreto: el hash de un archivo sospechoso, la IP o el dominio de destino de un atacante, una URL maliciosa, un proceso o un cambio en el registro inusuales. Mantienes estos como una lista de lo malo conocido y los cotejas contra tus registros y dispositivos para detectar señales de compromiso.

Q¿En qué se diferencia un IOC de un CVE?

Un CVE es 'dónde está el agujero' (un identificador de vulnerabilidad); un IOC es '¿hay evidencia de una brecha?' (prueba de ataque). Un CVE es lo que parcheas; un IOC es lo que compruebas para ver si ya te han alcanzado. El orden: cierra el agujero vía el CVE, luego inspecciona en busca de rastros vía los IOC.

Q¿Puedo defenderme solo con IOC?

No. Los IOC son inherentemente reactivos, y los atacantes pueden cambiar hashes de archivos e IPs barato. El cotejo de IOC es útil como comprobación final de lo malo conocido, pero la defensa real es un diseño que no arda (mínimo privilegio, parcheo rápido, MFA resistente al phishing) más el monitoreo del 'comportamiento', más difícil de cambiar.