¿Qué son los IoC en ciberseguridad?

¿Qué son los IoC en ciberseguridad?

Te pongo un escenario: imagina que te robaste una caja de galletas y sin darte cuenta terminas dejando migajas por todo el camino de vuelta a tu casa. En el mundo de la ciberseguridad, estos rastros se llaman Indicadores de Compromiso (IoC).

De forma sencilla, un IoC es cualquier evidencia forense que nos da a entender que un sistema o una red ha sido atacado por una amenaza de seguridad. Pueden ser muchas cosas, desde algo súper obvio hasta detalles más sutiles. Aquí te dejo algunos ejemplos para que te hagas una idea:

  • Direcciones IP maliciosas: imagina que un estafador siempre llama desde el mismo número de teléfono... sospechoso, ¿no? Pues esa IP es un IoC 😳.

  • Nombres de dominio sospechosos: como si el ladrón tuviera una guarida con un letrero que dice "Club de los hackers más malvados". ¡Ese dominio es otro IoC! 🙄

  • Hash de archivos maliciosos: es como la huella digital única de un virus o malware. Si encontramos esa huella en un archivo, ¡alarma! 🚨

  • Patrones de tráfico de red inusuales: imagina un camión de mudanzas entrando y saliendo de tu casa a las 3 de la mañana. Eso levantaría sospechas, ¡y un tráfico de red extraño también 🤔!

  • Cambios inesperados en archivos o configuraciones: alguien moviendo tus muebles o cambiado las cerraduras sin tu permiso. ¡Eso también es un IoC! 🤦‍♀️ 

Los Indicadores de Compromiso (IoC) son como las pistas claras que encontramos cuando algo raro o malo está pasando en nuestra red de computadoras. Son pruebas concretas que podemos ver y estudiar. Estas pistas nos muestran cosas que no son normales, como actividades extrañas y anomalías.

Los 5 tipos principales de IoC 

1. Los IoC basados en archivos

Son como las "huellas" 👣 que dejan los archivos maliciosos en nuestros sistemas. Esto puede verse de diversas formas, como extensiones de archivo inusuales (por ejemplo, un documento de texto con la terminación ".exe" en lugar de ".docx"), nombres de archivo y ubicaciones sospechosas (como un archivo llamado "virus_peligroso.exe" 🤨 guardado en una carpeta temporal), las "huellas digitales" únicas de los virus conocidas como hashes (que permiten identificar un archivo malicioso específico), o incluso un cambio drástico en el tamaño de un archivo sin explicación lógica.

2. Los IoC basados en la red

Estos se centran en las actividades sospechosas que ocurren durante la comunicación en nuestra red 🌐. Incluye: la identificación de direcciones IP maliciosas como nombres de dominio o URLs que parecen fraudulentas o que se sabe que distribuyen software malicioso.

Ejemplo: Un aumento repentino y sin motivo aparente en la cantidad de información que entra o sale de nuestra red también puede ser un IoC de este tipo.

3. Los IoC de comportamiento

Estos se fijan en las acciones extrañas tanto de nuestros sistemas como de los usuarios 👤. Algunos ejemplos serían:

  • Múltiples intentos fallidos de iniciar sesión en una cuenta

  • La actividad inusual de un empleado accediendo a archivos importantes fuera de su horario laboral habitual sin justificación

  • Los bloqueos inesperados de ordenadores o servidores

  • Las conexiones de red con servidores ubicados en países desconocidos

  • Un programa que de repente comienza a consumir una cantidad excesiva de memoria del sistema

4. Los IoC basados en registros

Estos se refieren a modificaciones sospechosas en el "registro" de Windows, una base de datos que almacena la configuración del sistema operativo. Por ejemplo, la eliminación de claves importantes 🔐 dentro de este registro o la aparición de valores de registro inusuales pueden ser indicios de un ciberataque.

5. Los IoC basados en host

Son los que abarcan cualquier cambio sospechoso que se realice en la configuración general de un ordenador 🖥️ o servidor (el "host"), así como en los permisos de acceso a los archivos y en los procesos que se están ejecutando en el sistema 🪪.

Es hora de que entre en juego el "Centro de Operaciones de Seguridad" o SOC

Un SOC (Security Operation Center) es como la central de inteligencia de una empresa en cuanto a ciberseguridad. Es un equipo de expertos que trabajan 24/7, monitoreando y analizando todo lo que sucede en la red de una organización 👀.

¡Y los IoC son sus mejores amigos!

El SOC utiliza los IoC como pistas cruciales para detectar, analizar y responder a incidentes de seguridad 🫱🏻‍🫲🏽. Imagina que su sistema de alarma (sus herramientas de seguridad) detecta una llamada desde una IP sospechosa (un IoC). Ahí es cuando la alarma se enciende en el SOC.

Los analistas del SOC toman el IoC y empiezan a investigar:

  • ¿Ha habido más llamadas desde esa IP?

  • ¿A qué sistemas ha intentado acceder?

  • ¿Hay otros IoCs relacionados, como archivos con hashes sospechosos en esos sistemas?

Al juntar todas estas "migajas", el equipo del SOC puede reconstruir la historia del ataque, entender qué ha pasado, contener la amenaza y, lo más importante, ¡echar a los malos de la red! ✅

¿Cómo puede ManageEngine DataSecurity Plus ayudar a identificar indicadores de compromiso?  

El software Data Security Plus de ManageEngine te avisa si hay movimientos raros en tus archivos, como si alguien los cambia fuera del horario de trabajo normal ⚠️.

También te muestra si alguien está obteniendo permisos especiales en las computadoras sin autorización o si muchos usuarios acceden al mismo archivo en poco tiempo.

La herramienta analiza si se están copiando archivos de forma extraña a memorias USB, lo que podría indicar que alguien está robando información importante 💾.

De igual forma para reforzar tu seguridad, te deja saber si alguien modifica archivos importantes del sistema sin que se le permita, dándote la opción de bloquear a ese usuario automáticamente 🚷. 

¡Vuelve a los IoCs tus mejores amigos y descarga ahora mismo tu prueba gratuita de Data Security Plus!