Indicador de compromiso (IOC) es un término utilizado para referirse a cualquier forma de evidencia o artefacto que se detecta en un sistema informático y que puede ayudar a determinar si un sistema ha sido pirateado o comprometido. Esto incluye datos y eventos que indican actividad maliciosa, como ejecución de malware, cambios no autorizados en el sistema o incluso intentos de actividades como fraude con tarjetas de crédito.
Los IOC son artefactos o pruebas forenses digitales estandarizados que se pueden utilizar para detectar, identificar, monitorear, investigar y responder a amenazas de seguridad cibernética o actividades maliciosas, así como para medir la efectividad de cualquier contramedida. Estos artefactos pueden incluir direcciones IP, nombres de dominio, rutas de archivos, hashes, entradas de registro, URL y otros componentes de un examen forense digital.
Ejemplos de COI incluyen:
* Direcciones IP: una dirección IP es uno de los indicadores de compromiso más utilizados. Puede proporcionar información sobre el origen y el destino de un paquete de red.
* URL: un localizador uniforme de recursos (URL) es una cadena de texto que identifica un recurso de red. Los actores malintencionados pueden intentar utilizar URL para realizar phishing u otros ataques.
* Nombres de dominio: un nombre de dominio ayuda a identificar al propietario de una dirección IP y puede usarse para detectar actividad maliciosa.
* Rutas de archivos: los archivos maliciosos se pueden identificar examinando la ruta del archivo de los datos.
* Hashes: los hashes criptográficos se crean para identificar archivos y binarios únicos. Luego se pueden utilizar para detectar archivos o herramientas maliciosos.
* Entradas del registro: las entradas del registro en Windows pueden contener pistas sobre la presencia de actividad maliciosa.
Cuando se utilizan correctamente, las IOC pueden ayudar a detectar, identificar, investigar y responder a las amenazas a la seguridad cibernética. Aunque pueden proporcionar pruebas útiles y, a veces, sustanciales de una infracción, no se debe confiar en ellos ciegamente. Es posible que se necesiten investigaciones y análisis más profundos para evaluar adecuadamente los riesgos subyacentes y tomar decisiones sobre cómo responder.