Cuando un atacante se mueve por tu entorno, deja rastros. Un archivo guardado en una ubicación inusual. Una conexión saliente a una dirección IP con la que ningún proceso legítimo debería comunicarse. Un inicio de sesión desde un país en el que no tienes empleados. Estos son indicadores de compromiso (IOC): pruebas digitales de que se ha producido una intrusión en un sistema o una red, o de que dicha intrusión está teniendo lugar en ese momento.
Para los equipos de seguridad y los proveedores de servicios gestionados (MSP), los indicadores de compromiso (IOC) constituyen una de las principales herramientas para detectar amenazas que ya han traspasado el perímetro. Herramientas como Datto EDR, Kaseya SIEM y Kaseya MDR se han diseñado precisamente con este objetivo: detectar IOC en todo el entorno y convertirlos en respuestas coordinadas antes de que el daño se extienda.
¿Qué son los indicadores de compromiso?
Los indicadores de compromiso son pruebas forenses digitales que sugieren que se ha accedido sin autorización a un sistema, un terminal o una red, que se han infectado con malware o que han sido objeto de un ataque. El término «compromiso» es intencionado: cuando se identifican la mayoría de los IOC, la intrusión ya se ha producido o está en curso.
Los IOC pueden ser datos recopilados de registros, tráfico de red, sistemas de archivos o telemetría de terminales. Entre ellos se incluyen hash de archivos específicos asociados a malware conocido, direcciones IP o dominios utilizados para el comando y control, cambios en las claves del registro, comportamientos inusuales de los procesos y patrones de autenticación que sugieren un robo de credenciales.
Los equipos de seguridad utilizan los IOC de dos maneras. De forma reactiva, una vez que se ha detectado un evento sospechoso, los analistas buscan IOC para comprender qué ha ocurrido, rastrear el recorrido del atacante y determinar el alcance del incidente. De forma proactiva, los equipos introducen los IOC conocidos en las herramientas de detección para que, si vuelven a aparecer los mismos indicios, se active automáticamente una alerta. Este segundo uso es lo que hace que las fuentes de inteligencia sobre amenazas y el intercambio de IOC sean tan valiosos.
Conviene dejar clara una limitación: la detección de IOC es, por naturaleza, retrospectiva. Si tus herramientas han detectado un IOC, es que ya ha ocurrido algo. El objetivo de una buena supervisión de IOC es reducir el lapso de tiempo que transcurre entre el momento en que se produce una intrusión y el momento en que se detecta, ya que es en ese lapso donde actúan los atacantes.
Indicadores de compromiso frente a indicadores de ataque (IOA): ¿Cuál es la diferencia?
Un indicador de compromiso es una prueba de que ya ha ocurrido algo negativo. Se basa en elementos concretos: un hash de archivo, una clave del Registro, un nombre de dominio o una dirección IP. Los IOC son específicos y estáticos.
Un indicador de ataque se centra en el comportamiento más que en los artefactos. Los IOA describen las técnicas y acciones que utiliza un atacante, independientemente de las herramientas específicas que emplee. Un proceso que genera un proceso secundario que intenta establecer una conexión de red constituye un patrón de IOA. Esto puede ser provocado por malware conocido o por una amenaza totalmente nueva que nunca se haya catalogado. Los IOA son más amplios y resistentes a la evasión, ya que modificar el hash de un archivo no altera el comportamiento subyacente.
En la práctica, los equipos de seguridad con experiencia utilizan ambos. Los IOC detectan rápidamente las amenazas conocidas. Los IOA detectan ataques novedosos y a adversarios sofisticados que crean herramientas específicamente diseñadas para evitar que coincidan con las bases de datos de IOC conocidas.
Tipos de indicadores de compromiso
Los códigos de identificación de objetos (IOC) se clasifican en cuatro categorías según su origen y lo que describen.
Indicadores de compromiso de seguridad (IOC) basados en la red
Los indicadores de compromiso (IOC) de red son elementos relacionados con actividades de red sospechosas o maliciosas. Entre ellos se incluyen direcciones IP vinculadas a la infraestructura de los autores de las amenazas, dominios utilizados para las comunicaciones de comando y control (C2), patrones inusuales de tráfico saliente y consultas DNS para dominios que no corresponden a servicios legítimos.
Dado que los indicadores de compromiso (IOC) de red suelen indicar una comunicación activa con infraestructuras controladas por los atacantes, es fundamental detectarlos rápidamente. Un terminal que haya sido comprometido pero que aún no haya filtrado datos puede contenerse si se detecta primero la conexión C2 saliente.
Indicadores de compromiso (IOC) basados en el host
Los indicadores de compromiso (IOC) basados en el host se encuentran en los terminales y dispositivos individuales. Entre ellos se incluyen cambios inesperados en claves del registro o archivos del sistema, nuevos procesos que se ejecutan bajo procesos principales inusuales, modificaciones en tareas programadas o entradas de inicio, archivos que aparecen en ubicaciones en las que ningún software legítimo escribe datos, y cambios no autorizados en los permisos de las cuentas.
Las herramientas EDR constituyen el principal mecanismo para detectar indicadores de compromiso (IOC) basados en el host, ya que ofrecen una visibilidad a nivel de agente de todo lo que ocurre en el dispositivo: cada inicio de proceso, cada escritura de archivo, cada modificación del registro. Esta telemetría permite detectar malware sin archivos y ataques «living-off-the-land», que no dejan archivos en el disco pero sí dejan rastros de comportamiento.
Indicadores de compromiso basados en archivos
Los IOC basados en archivos son elementos específicos vinculados a archivos maliciosos conocidos. La forma más habitual es un hash criptográfico (MD5, SHA-1 o SHA-256) que identifica de forma única a un archivo. Si un hash coincide con uno asociado a un malware conocido, es un claro indicio de que el archivo es malicioso, independientemente del nombre que se le haya dado.
Otros indicadores de amenaza basados en archivos (IOC) incluyen los nombres de archivo y las rutas que utilizan familias de malware conocidas, así como los datos de los certificados digitales del malware firmado. Los IOC basados en archivos se comprueban rápidamente y son fáciles de compartir, por lo que constituyen la mayor parte de los datos de los canales de inteligencia sobre amenazas. Su limitación es que se pueden eludir fácilmente recompilando el código, lo que modifica el hash.
Indicadores de comportamiento
Los IOC de comportamiento describen patrones de actividad que se desvían de los valores de referencia establecidos, independientemente de los archivos o elementos concretos implicados. Varios intentos fallidos de inicio de sesión en diferentes cuentas en un breve intervalo de tiempo, una cuenta de usuario que accede a recursos compartidos de archivos a los que nunca antes había accedido, o la lectura de grandes volúmenes de datos de una base de datos por parte de un solo usuario son ejemplos de IOC de comportamiento.
Los indicadores de compromiso (IOC) basados en el comportamiento requieren una línea de referencia establecida para ser significativos. Las plataformas SIEM y las herramientas de análisis del comportamiento de usuarios y entidades (UEBA) establecen estas líneas de referencia con el tiempo y señalan automáticamente las desviaciones, lo que las hace especialmente eficaces a la hora de detectar amenazas que evitan deliberadamente coincidir con las firmas de IOC conocidas.
Ejemplos comunes de indicadores de compromiso
Saber cómo se manifiestan los IOC en la práctica ayuda a los equipos de seguridad a saber qué deben buscar. Entre los ejemplos más comunes se incluyen:
- Actividad de autenticación inusual: varios intentos fallidos de inicio de sesión en distintas cuentas desde la misma dirección IP, un inicio de sesión correcto desde una ubicación geográfica inesperada o desde un dispositivo que nunca antes había accedido a la cuenta, y los inicios de sesión a horas inusuales son indicios de un posible robo de credenciales o de un acceso no autorizado.
- Tráfico saliente anómalo: si un dispositivo transfiere de repente grandes volúmenes de datos a destinos externos con los que nunca se ha comunicado, o si el tráfico se dirige a rangos de direcciones IP maliciosos conocidos, esto indica una posible filtración de datos. El tráfico enviado a intervalos regulares y programados suele indicar que se están enviando señales a la infraestructura C2.
- Procesos o programas inesperados: merece la pena investigar los procesos que se ejecutan desde directorios temporales, los ejecutables sin firmar en ubicaciones donde el software no suele encontrarse y las herramientas de acceso remoto que no deberían estar en los equipos de producción. Las tareas programadas o las entradas de inicio que hayan aparecido sin una solicitud de cambio correspondiente pueden indicar la persistencia de un atacante.
- Modificaciones sospechosas del Registro: los atacantes modifican claves del Registro para mantener la persistencia, desactivar herramientas de seguridad o alterar el comportamiento del sistema. Los cambios en las claves de ejecución automática o en las configuraciones de los servicios sin un ticket de cambio que lo justifique constituyen indicadores de compromiso (IOC) sólidos basados en el host.
- Anomalías en el DNS: los grandes volúmenes de solicitudes DNS dirigidas a un único dominio, las solicitudes relacionadas con dominios recién registrados o generados mediante algoritmos (una técnica conocida como «algoritmos de generación de dominios» o DGA) y las consultas sobre dominios maliciosos conocidos son indicios de un posible compromiso de la red.
- Los cambios de configuración no autorizados —como la modificación de reglas del cortafuegos para abrir puertos de entrada, la creación de nuevas cuentas administrativas sin autorización y la desactivación o desinstalación de software de seguridad— constituyen indicadores de compromiso (IOC) que justifican una investigación inmediata.
Cómo se utilizan los IOC en la respuesta a incidentes
La detección de IOC resulta más útil cuando se integra en un flujo de trabajo de respuesta. Detectar un IOC sin actuar rápidamente al respecto es apenas un poco mejor que no detectarlo en absoluto.
En la práctica, la respuesta a incidentes basada en IOC sigue un patrón sistemático. Se activa una alerta cuando se detecta coincidencia con un IOC conocido o cuando un comportamiento anómalo supera un umbral. Un analista comprueba si se trata de una amenaza real. Si se confirma, se evalúa el alcance: qué sistemas se han visto afectados, a qué datos se ha podido acceder y cómo ha logrado entrar el atacante. A continuación se lleva a cabo la contención, aislando los puntos finales o bloqueando las conexiones sospechosas. La corrección elimina los artefactos maliciosos y cierra el vector de acceso. Por último, los IOC recopilados durante la investigación se añaden a las reglas de detección, de modo que la próxima vez se detecte el mismo patrón más rápidamente.
La rapidez es fundamental en cada paso. El Informe global de respuesta a incidentes de Unit 42 de 2026 reveló que los ataques más rápidos llegan a la sustracción de datos en tan solo 72 minutos desde el acceso inicial. Las organizaciones que cuentan con sistemas automatizados de detección y contención de indicadores de compromiso (IOC) resuelven los incidentes de forma sistemáticamente más rápida que aquellas que dependen de la revisión manual.
Herramientas de correlación de amenazas y detección de indicadores de compromiso (IOC)
Existen varias categorías de tecnología de seguridad diseñadas específicamente para la detección y la respuesta ante indicadores de compromiso (IOC).
Gestión de información y eventos de seguridad (SIEM)
Un SIEM es la herramienta principal para correlacionar los indicadores de compromiso (IOC) en todo un entorno. Un SIEM recopila datos de registros y eventos de toda la pila de TI, aplica reglas de correlación para identificar patrones que coincidan con IOC conocidos o comportamientos sospechosos, y genera alertas priorizadas. Dado que un SIEM ve datos de múltiples fuentes simultáneamente, conecta eventos que, aislados, parecerían insignificantes: un intento de inicio de sesión fallido, seguido de un inicio de sesión correcto desde una IP diferente, seguido del acceso de ese usuario a un recurso compartido de archivos que nunca había utilizado, se convierte en un incidente correlacionado en lugar de tres alertas separadas de baja prioridad.
Detección y respuesta en endpoints (EDR)
Las herramientas EDR supervisan los terminales individuales en tiempo real en busca de indicadores de compromiso (IOC) basados en el host y de comportamiento. Registran datos de telemetría detallados, comparan el comportamiento con bibliotecas de amenazas y bases de datos de IOC, y permiten una respuesta automatizada o guiada por analistas, que incluye el aislamiento, la finalización de procesos y la cuarentena de archivos.
Managed detection and response (MDR)
Los servicios MDR añaden una capa de análisis a la tecnología SIEM y EDR. En lugar de dejar la clasificación e investigación de los indicadores de amenazas (IOC) en manos del personal interno, los proveedores de MDR realizan una supervisión continua y responden a las amenazas confirmadas en nombre del cliente. Para las organizaciones que no cuentan con una cobertura de operaciones de seguridad las 24 horas del día, los 7 días de la semana, el MDR es lo que convierte la detección de IOC en una respuesta operativa.
Cloud detection and response (CDR)
A medida que la actividad empresarial se traslada cada vez más a plataformas como Microsoft 365 y Google Workspace, los indicadores de compromiso (IOC) basados en la nube se han convertido en una parte importante del panorama de amenazas. Las herramientas de registro de datos y eventos (CDR) amplían la detección de IOC a los entornos SaaS, señalando indicios como permisos inusuales de aplicaciones OAuth, inicios de sesión desde ubicaciones imposibles, descargas masivas de archivos y cambios no autorizados en las configuraciones de los inquilinos de la nube.
Plataformas de inteligencia sobre amenazas
Las plataformas de inteligencia sobre amenazas recopilan datos de indicadores de compromiso (IOC) procedentes de fuentes globales, avisos gubernamentales, investigaciones de proveedores e información compartida por la comunidad. Enriquecen las alertas con información contextual sobre a qué se ha asociado una dirección IP, un dominio o un hash de archivo concretos, qué grupos de atacantes los utilizan y cuándo se han detectado por última vez en campañas activas, lo que ayuda a los analistas a priorizar qué investigar en primer lugar.
Cómo ayuda Kaseya a los equipos a detectar y responder a los indicadores de compromiso (IOC)
La plataforma de seguridad de Kaseya se basa en la detección de indicadores de compromiso (IOC) en toda la superficie de ataque y en la integración de dicha detección con una respuesta rápida y coordinada, especialmente pensada para proveedores de servicios de gestión (MSP) y equipos de TI reducidos que carecen de un gran departamento interno de seguridad.
Kaseya SIEM recopila datos de telemetría de más de 60 fuentes, correlaciona coincidencias de indicadores de amenazas (IOC) y patrones de comportamiento sospechosos en los terminales, la identidad, la red y la nube, y conserva los registros durante 400 días para facilitar las investigaciones forenses. Las reglas de respuesta automatizada pueden activarse de inmediato cuando se confirman los IOC, bloqueando cuentas, aislando dispositivos y marcando las sesiones que están a punto de caducar sin necesidad de intervención manual.
Datto EDR supervisa los dispositivos finales en busca de indicadores de compromiso (IOC) basados en el host y de comportamiento en tiempo real, asocia las detecciones al marco MITRE ATT&CK para que los analistas dispongan de contexto de forma inmediata y ofrece más de 65 acciones de respuesta automatizadas, incluida la reversión de ataques de ransomware.
Kaseya MDR cuenta con analistas de seguridad con sede en EE. UU. que supervisan su entorno las 24 horas del día, investigan las alertas activadas por indicadores de compromiso (IOC) y toman medidas de contención cuando se confirman las amenazas. Para las organizaciones que necesitan una cobertura de respuesta a los IOC las 24 horas del día, los 7 días de la semana, sin tener que crear un centro de operaciones de seguridad (SOC), el MDR es la solución más práctica.
SaaS Alerts amplía la detección de IOC a Microsoft 365, Google Workspace y otras aplicaciones en la nube. Los equipos pueden definir reglas de IOC personalizadas utilizando desencadenantes de eventos y filtros, con plantillas de IOC de la comunidad que cubren patrones de amenazas comunes y están disponibles de forma predeterminada. SaaS Alerts directamente con Kaseya SIEM para realizar correlaciones entre superficies, lo que ofrece a los analistas una vista unificada de la actividad de IOC en los puntos finales y en la nube en un solo lugar. En conjunto, estas herramientas proporcionan a los MSP y a los equipos de TI la visibilidad y la capacidad de respuesta necesarias para actuar sobre los IOC en todas las capas del entorno, sin necesidad de un centro de operaciones de seguridad dedicado para que funcione.
