Glosario
¿Qué son los indicadores de compromiso?

¿Qué son los indicadores de compromiso?

Descargar la ficha de Proofpoint Email Protection
Informe sobre ataques a la cadena de suministro

Tabla de contenidos

Definición de indicadores de compromiso (IoC)

Durante un incidente de ciberseguridad, los indicadores de compromiso (IoC, del inglés “Indicators of Compromise”) son pistas y pruebas de una vulneración de datos. Estos rastros digitales pueden revelar no sólo que se ha producido un ataque, sino también, qué herramientas se utilizaron en el ataque y quién está detrás de ello.

Los IoC también pueden utilizarse para determinar hasta qué punto un compromiso afectó a una organización o para recopilar lecciones aprendidas que ayuden a asegurar el entorno frente a futuros ataques. Los indicadores suelen recopilarse a partir de software, incluidos los sistemas antimalware y antivirus, pero pueden utilizarse otras herramientas artificiales de ciberseguridad IoC para agregar y organizar los indicadores durante la respuesta a incidentes.

La formación en ciberseguridad empieza aquí

Iniciar una prueba gratuita

La prueba gratuita funciona de la siguiente manera:

  • Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
  • En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
  • ¡Conozca nuestra tecnología en acción!
  • Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.

Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.

Un representante de Proofpoint se comunicará con usted en breve.

¿Cómo funcionan los indicadores de compromiso?

Por mucho que los autores de malware intenten crear software que evite siempre la detección, toda aplicación deja pruebas de su existencia en la red. Estas pistas pueden utilizarse para determinar si la red está siendo atacada o si se ha producido una vulneración de datos. Los investigadores forenses utilizan estas pistas para reunir pruebas después de un incidente de ciberseguridad con el fin de preparar contramedidas y presentar cargos penales contra un atacante. Los IoC también revelan qué datos fueron robados y la gravedad del incidente de ciberseguridad.

Piense en los indicadores de compromiso como las migas de pan o rastros que deja un atacante tras un incidente de ciberseguridad. Las aplicaciones antimalware podrían detener parcialmente el incidente, pero los indicadores de compromiso determinan los datos y archivos a los que tuvo acceso un atacante. Son cruciales para encontrar vulnerabilidades y exploits utilizados por los atacantes para robar datos porque ofrecen a la organización información sobre las formas de proteger mejor la red en el futuro.

Indicadores de compromiso vs. indicadores de ataque

¿Qué es un IoC comparado con un IoA? Los incidentes de ciberseguridad tienen varias fases. Pero en lo que respecta a las investigaciones, hay dos preocupaciones principales: ¿está el ataque en curso o se ha contenido el problema? Los investigadores utilizan los indicadores de compromiso dejados por un atacante para responder a ambas preguntas.

La seguridad IoC utilizada durante la respuesta a incidentes sirve para determinar el alcance de un ataque y los datos vulnerados. Los indicadores de ataque (IoA, del inglés “Indicators of Attack”) se utilizan para determinar si un ataque está en curso y debe ser contenido antes de que pueda causar más daños.

Tanto las herramientas cibernéticas de indicators of compromiso, como las de IoA trabajan con pruebas y metadatos que dan pistas a los investigadores sobre el estado de un ataque. Los indicadores de compromiso de la seguridad informática, se utilizan después de contener un ataque, cuando la organización necesita saber dónde, qué y cómo. Los indicadores de ataque se centran en un ataque en curso que puede estar activo y debe ser contenido.

En el caso del malware extremadamente sigiloso, un compromiso podría durar meses antes de que los administradores sean conscientes de ello. Los indicadores de compromiso ayudan a determinar si las sospechas son exactas o un falso positivo.

Ejemplos y tipos de indicadores de compromiso

Las grandes redes pueden tener miles de IoC. Por esta razón, la mayoría de las pruebas se agregan y se cargan en sistemas de gestión de eventos y sucesos de seguridad (SIEM) de IoC para ayudar a los investigadores forenses a organizar los datos. Las pruebas pueden proceder de numerosos lugares, pero a continuación se indican algunos elementos de descubrimiento que pueden utilizarse como IoC:

  • Tráfico saliente inusual: Los atacantes utilizan malware para recopilar y enviar datos a un servidor controlado por ellos. El tráfico saliente durante las horas de menor actividad o el tráfico que se comunica con una IP sospechosa podría indicar una amenaza para la seguridad de IoC.
  • Irregularidades en la actividad de usuarios con privilegios elevados sobre datos sensibles: Se utilizan cuentas de usuario comprometidas para acceder a datos sensibles. Una cuenta de usuario con privilegios elevados es necesaria para que un atacante acceda a datos que, de otro modo, estarían bloqueados desde cuentas de usuario estándar con permisos básicos. Una cuenta de usuario con privilegios elevados que acceda a datos sensibles en horas de poca actividad o a archivos a los que se accede con poca frecuencia podría indicar que las credenciales fueron suplantadas o robadas.
  • Actividad procedente de regiones geográficas extrañas: La mayoría de las organizaciones tienen tráfico que procede de una zona específica. Los ataques patrocinados por el Estado y los que proceden de países ajenos a la zona geográfica donde opera la organización generan indicadores de tráfico de fuera de las regiones habituales.
  • Gran cantidad de fallos de autenticación: En las apropiaciones de cuentas, los atacantes utilizan la automatización para autenticarse utilizando credenciales falsificadas. Un alto índice de intentos de autenticación podría indicar que un atacante ha robado credenciales y está intentando encontrar una cuenta que le dé acceso a la red.
  • Aumento de las lecturas de bases de datos: Ya se trate de una inyección SQL o de un acceso directo a la base de datos utilizando una cuenta de administrador, un volcado de datos de las tablas de la base de datos podría indicar que un atacante ha robado datos.
  • Peticiones excesivas en archivos importantes: Sin una cuenta con privilegios elevados, un atacante se ve obligado a explorar diferentes exploits y encontrar la vulnerabilidad adecuada para acceder a los archivos. Deben revisarse numerosos intentos de acceso desde la misma IP o región geográfica.
  • Cambios de configuración sospechosos: Los cambios de configuración en archivos, servidores y dispositivos podrían proporcionar a un atacante una segunda puerta trasera a la red. Los cambios también podrían añadir vulnerabilidades para que las aproveche el malware.
  • Inundación de tráfico hacia un sitio o ubicación específicos: Un compromiso de los dispositivos podría convertirlos en una botnet. Un atacante envía una señal al dispositivo comprometido para que inunde de tráfico un objetivo específico. Una elevada actividad de tráfico desde varios dispositivos a una IP específica podría significar que los dispositivos internos forman parte de una denegación de servicio distribuida (DDoS).

Un indicador de compromiso podría identificarse como uno o varios de estos indicadores. El trabajo de un investigador forense consiste en revisar todas las pruebas de IoC para determinar qué vulnerabilidad fue explotada.

Uso de la detección de seguridad de IoC para mejorar la respuesta

Después de un incidente, las medidas de ciberseguridad de indicadores de compromiso pueden utilizarse para establecer qué salió mal, de modo que la organización pueda evitar cualquier futura explotación de la misma vulnerabilidad.

En algunos casos, las organizaciones no registran ni supervisan correctamente los recursos adecuados. Ese descuido las deja expuestas a un atacante que puede evitar su detección tras una investigación. Primero es importante aplicar la supervisión en la red para detectar un ataque, pero para las investigaciones, los registros y las pistas de auditoría son igual de importantes.

Los puntos de datos sobre indicadores de compromiso de la seguridad informática, pueden recopilarse en tiempo real para reducir el tiempo de respuesta durante una investigación. Los SIEM se utilizan para separar el ruido de las pruebas valiosas necesarias para identificar un ataque y sus vectores de ataque de explotación. Documentar los procedimientos actuales de respuesta a incidentes también puede reducir el tiempo que tarda una investigación. Estos procedimientos deben revisarse después de un compromiso para mejorarlos.

Durante la respuesta a un incidente, la fase de lecciones aprendidas es el último paso. Los IoC son útiles durante esta fase para identificar qué defensas de ciberseguridad estaban mal configuradas o eran insuficientes para detener a un atacante. Cuanto más exhaustivos sean los registros y las pistas de auditoría de que disponga la organización, más eficaz será su investigación durante la respuesta a incidentes.

Recursos relacionados

Solution Brief

Cinco medidas para luchar contra las estafas Business Email Compromise (BEC)

Webinar

Do's and Don’ts for Business Email Compromise (BEC) & Email Account Compromise (EAC)

Blog

Combatting BEC and EAC: How Cloud App Security Can Protect Your Company from Email Account Compromise (EAC)

Blog

The Anatomy of a Business Email Compromise and Email Account Compromise Attack

See more resources

¿Listo para probar Proofpoint?

Empiece con una versión de evaluación gratuita de Proofpoint.

Obtener protección
Previous Glossary
Next Glossary