Explica la diferencia entre indicadores de compromiso (IOC) e indicadores de ataque (IOA).
Respuesta breve
Un IOC es un artefacto forense de que algo malicioso ya ocurrió: un hash de archivo malicioso, una IP o dominio de C2, una clave de registro conocida como dañina. Un IOA es una señal de comportamiento de un ataque que se desarrolla, independientemente de las herramientas concretas, p. ej. un documento de Word que lanza PowerShell y luego sale a Internet. Los IOC son reactivos y fáciles de evadir cambiando un hash; los IOA capturan la intención y sobreviven a los cambios de herramienta.
Esta pregunta separa a los analistas que cotejan firmas de los que entienden el comportamiento. Ambos tipos de indicador importan, pero responden a preguntas distintas y tienen vidas útiles muy diferentes.
Indicadores de compromiso (IOC)
Un IOC es un artefacto concreto que prueba, o sugiere con fuerza, que un sistema fue vulnerado: un hash de archivo malicioso, un dominio o IP de C2 conocidos, un mutex específico, una clave Run de registro maliciosa o una dirección de remitente de phishing. Los IOC son excelentes para un cotejo rápido y escalable: aliméntalos a tu SIEM o EDR y bloquéalos. Su debilidad es la fragilidad: un atacante recompila el malware y el hash cambia; rota su infraestructura y la IP queda muerta. Los IOC son intrínsecamente reactivos: provienen de algo que ya ocurrió, a menudo a otra persona.
Indicadores de ataque (IOA)
Un IOA describe qué está haciendo el adversario, no qué usó. Ejemplos: un documento con macros habilitadas que lanza powershell.exe, ese proceso que luego establece una conexión saliente y después vuelca la memoria de LSASS. Ninguno de esos pasos depende de un hash concreto. Como los IOA apuntan al comportamiento y la intención, siguen funcionando aunque el atacante cambie de herramienta, lo que corresponde a la cima dolorosa de la Pirámide del Dolor de David Bianco (las TTP).
Por qué importa
Los programas de detección sólidos usan ambos: IOC para un bloqueo barato y de alta confianza de lo conocido como malicioso, e IOA para atrapar ataques nuevos o en curso que aún no tienen firma. Los entrevistadores quieren oír que sabes que los IOC son fáciles de evadir, que los IOA cuestan más al atacante para vencerlos, y que los SOC maduros invierten en detección de comportamiento en vez de vivir solo de los hashes de los feeds de inteligencia.
Posibles preguntas de seguimiento
- ¿Por qué un atacante puede evadir tan fácilmente una detección basada en IOC?
- Da un ejemplo de un IOA que no tenga ningún IOC asociado.
- ¿Dónde encajan los niveles de la Pirámide del Dolor en todo esto?