¿Qué es un IoC y por qué es importante en ciberseguridad?
Guía práctica sobre Indicadores de Compromiso, sus tipos, cómo se detectan y cómo los utiliza un SOC durante una investigación.

En ciberseguridad, no siempre es fácil saber si algo es realmente malicioso a simple vista.
Una IP externa, un dominio poco habitual, un archivo desconocido, un proceso extraño o una conexión fuera de lo normal pueden parecer eventos aislados dentro de toda la actividad que se analiza a diario.
Sin embargo, en algunos casos, esas pequeñas señales pueden ser la pista que permite detectar una amenaza, entender qué ha ocurrido y bloquear actividad maliciosa antes de que afecte a más sistemas.
Ahí es donde entran los Indicadores de Compromiso, también conocidos como IoCs.
Un IoC es una huella técnica que puede indicar que un sistema, una red o una cuenta han sido comprometidos. No es necesariamente el ataque en sí, sino una evidencia observable que puede ayudar a identificar actividad maliciosa o sospechosa.
¿Para qué sirve un IoC?
Los IoCs permiten a los equipos de seguridad detectar, investigar y responder ante posibles amenazas.
Cuando una actividad coincide con un IoC conocido, el equipo de seguridad puede utilizar esa información para:
- Identificar sistemas potencialmente afectados.
- Bloquear conexiones hacia infraestructuras maliciosas.
- Crear reglas de detección en herramientas de seguridad.
- Investigar el alcance de un incidente.
- Documentar evidencias para futuras investigaciones.
- Enriquecer alertas con contexto de Threat Intelligence.
Por ejemplo, si una organización detecta conexiones hacia un dominio asociado a malware, ese dominio puede considerarse un IoC. A partir de ahí, el SOC puede revisar qué equipos se conectaron a ese dominio, bloquearlo y comprobar si existe actividad relacionada en otros sistemas.
IoC no significa ataque confirmado
Un punto importante es que un IoC no siempre confirma por sí solo que haya ocurrido un ataque.
Un indicador debe analizarse dentro de un contexto.
Por ejemplo, una IP puede aparecer reportada como maliciosa en una fuente pública, pero eso no significa automáticamente que cualquier conexión hacia ella sea un incidente crítico. El analista debe revisar otros elementos como:
- Qué equipo realizó la conexión.
- En qué momento ocurrió.
- Qué usuario estaba autenticado.
- Qué proceso generó la conexión.
- Si hubo descarga o ejecución de archivos.
- Si existen eventos similares en otros sistemas.
- Si la IP aparece asociada a campañas o malware conocidos.
La clave no está solo en encontrar una IP, un dominio o un hash extraño, sino en entender si esa huella está realmente relacionada con actividad maliciosa.
Tipos de IoCs
Los IoCs pueden clasificarse según el tipo de huella que deja el atacante.
IoCs de red
Son indicadores relacionados con la comunicación entre sistemas.
Algunos ejemplos:
- Direcciones IP sospechosas.
- Dominios maliciosos.
- URLs de phishing.
- Conexiones hacia países no habituales.
- Puertos inusuales.
- Patrones anómalos de tráfico.
- Comunicaciones con servidores de Command and Control.
Ejemplo:
185.XXX.XXX.XXX
malicious-domain[.]com
hxxp://example[.]com/payload.exe
IoCs de archivo
Son indicadores relacionados con archivos sospechosos o maliciosos.
Algunos ejemplos:
- Hashes MD5, SHA1 o SHA256.
- Nombres de archivo extraños.
- Extensiones sospechosas.
- Rutas poco habituales.
- Firmas de malware.
- Archivos ejecutados desde directorios temporales.
Ejemplo:
SHA256: 5f2d7c1b9a0e8f4c6d3b2a1e...
C:\Users\Public\update.exe
C:\Users\AppData\Local\Temp\invoice.scr
Los hashes son especialmente útiles porque permiten identificar un archivo concreto. Si el mismo hash aparece en otros equipos, puede indicar que la misma muestra se ha ejecutado o descargado en varios sistemas.
IoCs de sistema
Son indicadores observables dentro del propio sistema operativo.
Algunos ejemplos:
- Procesos desconocidos.
- Servicios creados sin autorización.
- Tareas programadas sospechosas.
- Cambios en claves de registro.
- Persistencia mediante rutas inusuales.
- Creación de usuarios no autorizados.
- Modificaciones en configuraciones críticas.
Ejemplo:
Proceso: update.exe
Ruta: C:\Users\Public\update.exe
Persistencia: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
IoCs de autenticación
Están relacionados con accesos, credenciales y comportamiento de usuarios.
Algunos ejemplos:
- Múltiples inicios de sesión fallidos.
- Accesos desde ubicaciones no habituales.
- Uso de credenciales en horarios extraños.
- Inicio de sesión desde países inusuales.
- Autenticaciones imposibles por geolocalización.
- Uso anómalo de cuentas privilegiadas.
- Cuentas comprometidas.
Ejemplo:
Usuario: admin.corp
Evento: múltiples fallos de autenticación
Origen: IP externa no habitual
Hora: 03:42 AM
Este tipo de IoC es muy importante en entornos corporativos, especialmente cuando se investigan ataques de fuerza bruta, password spraying, robo de credenciales o accesos no autorizados.
IoCs de correo
Son indicadores asociados a campañas de phishing o malware distribuido por email.
Algunos ejemplos:
- Remitentes falsificados.
- Dominios similares a los legítimos.
- Adjuntos maliciosos.
- Enlaces de phishing.
- Asuntos sospechosos.
- Cabeceras de correo manipuladas.
- URLs acortadas o redirecciones.
Ejemplo:
Remitente: soporte@micros0ft-security[.]com
Asunto: Actualización urgente de contraseña
Adjunto: factura_enero.xlsm
URL: hxxps://login-microsoft-secure[.]com
IoCs de comportamiento
Son indicadores relacionados con acciones sospechosas dentro de un entorno.
Algunos ejemplos:
- Ejecución de comandos inusuales.
- Movimiento lateral.
- Escalada de privilegios.
- Exfiltración de datos.
- Uso de herramientas administrativas con fines maliciosos.
- Descarga de payloads.
- Conexiones repetidas hacia infraestructura externa.
Ejemplo:
powershell.exe -ExecutionPolicy Bypass -NoProfile -EncodedCommand ...
Los IoCs de comportamiento suelen ser más difíciles de detectar, pero también son muy valiosos porque pueden revelar acciones del atacante más allá de un simple hash o dominio.
IoCs en logs
Los logs son una fuente fundamental para encontrar indicadores durante una investigación.
Algunos ejemplos:
- Eventos repetidos.
- Errores anómalos.
- Actividad fuera de horario.
- Accesos desde IPs desconocidas.
- Cambios inesperados en configuración.
- Ejecución de comandos.
- Creación de procesos sospechosos.
Ejemplo:
Event ID: 4625
Description: Failed logon
Source IP: 203.0.113.50
User: administrator
¿Cómo se detectan nuevos IoCs?
Los nuevos IoCs suelen descubrirse durante una investigación de seguridad.
Cuando llega una alerta al SOC, el analista empieza a revisar diferentes fuentes de información para entender qué ha ocurrido:
- Logs del sistema.
- Conexiones de red.
- Procesos ejecutados.
- Archivos creados o modificados.
- Eventos del EDR.
- Alertas del SIEM.
- Cabeceras de correo.
- Reputación de IPs, dominios o hashes.
- Comportamiento del equipo afectado.
La clave está en encontrar evidencias que puedan reutilizarse para detectar la misma amenaza en otros sistemas.
Un IoC nace cuando una actividad sospechosa se convierte en una huella técnica útil.
Caso de uso: de una alerta a un IoC
Imaginemos un escenario habitual dentro de un SOC.
Llega una alerta relacionada con un correo sospechoso que contiene un archivo adjunto. El usuario ha abierto el archivo y, poco después, el EDR detecta la ejecución de un proceso inusual.
El analista decide revisar la muestra en una sandbox como ANY.RUN para observar su comportamiento en un entorno controlado.
Durante el análisis, se detecta que el archivo:
- Lanza procesos inesperados.
- Crea archivos en rutas temporales.
- Intenta establecer conexión con una IP externa.
- Ejecuta comandos sospechosos.
- Se comunica con un dominio poco habitual.
Después, el analista consulta la IP en una fuente como AbuseIPDB y observa que aparece reportada por actividad maliciosa.
A partir de la investigación, se pueden extraer varios IoCs:
| Tipo de IoC | Ejemplo |
|---|---|
| IP | Dirección IP externa reportada |
| Hash | SHA256 del archivo adjunto |
| Proceso | Nombre del proceso ejecutado |
| Ruta | Ubicación donde se creó el archivo |
| Dominio | Dominio contactado por la muestra |
| URL | Recurso solicitado durante la conexión |
Estos indicadores pueden utilizarse para buscar la misma actividad en otros equipos de la organización.
¿Qué hace un SOC con los IoCs?
Cuando un IoC se confirma, no se queda como un simple dato técnico. El SOC puede utilizarlo para mejorar la detección y respuesta ante amenazas.
Buscar equipos afectados
El primer paso suele ser comprobar si otros sistemas han tenido actividad relacionada con ese indicador.
Por ejemplo:
¿Otros equipos se han conectado a la misma IP?
¿El mismo hash aparece en más endpoints?
¿El dominio sospechoso ha sido resuelto por otros usuarios?
¿El proceso se ha ejecutado en más máquinas?
Esto permite medir el alcance del incidente.
Crear reglas de detección
Una vez validado el IoC, el equipo puede crear reglas para detectar si vuelve a aparecer.
Estas reglas pueden aplicarse en:
- SIEM.
- EDR.
- Firewall.
- Proxy.
- IDS/IPS.
- DNS filtering.
- Plataformas SOAR.
Ejemplo simple de lógica de detección:
SI destino_ip == "185.XXX.XXX.XXX"
ENTONCES generar alerta "Conexión hacia IP maliciosa conocida"
También podría generarse una regla para detectar un hash concreto:
SI file.sha256 == "5f2d7c1b9a0e8f4c6d3b2a1e..."
ENTONCES generar alerta "Archivo malicioso detectado"
Bloquear amenazas
Si el indicador está confirmado como malicioso, puede bloquearse para reducir el riesgo.
Algunas acciones posibles:
- Bloquear una IP en firewall.
- Bloquear un dominio en DNS filtering.
- Bloquear una URL en proxy.
- Aislar un endpoint desde el EDR.
- Eliminar un archivo malicioso.
- Bloquear un hash.
- Revocar credenciales comprometidas.
El objetivo es impedir que la amenaza siga propagándose o que otros equipos lleguen a comunicarse con la misma infraestructura maliciosa.
Enriquecer alertas
Los IoCs también se pueden enriquecer con información adicional de Threat Intelligence.
Por ejemplo:
- Reputación del indicador.
- País de origen.
- ASN.
- Malware asociado.
- Campañas relacionadas.
- Primera y última vez que fue visto.
- Nivel de confianza.
- Relación con otros indicadores.
Esto ayuda al analista a priorizar y entender mejor la amenaza.
Documentar el incidente
La documentación es una parte fundamental del trabajo en un SOC.
Cuando se confirma un IoC, es importante registrar:
- Qué indicador se encontró.
- Dónde apareció.
- Qué sistemas afectó.
- Qué evidencias lo respaldan.
- Qué acciones se realizaron.
- Qué reglas se crearon.
- Qué bloqueos se aplicaron.
- Qué recomendaciones se deben seguir.
Una buena documentación permite que futuras investigaciones sean más rápidas y que otros analistas puedan entender el contexto del incidente.
Fuentes públicas para consultar IoCs
Los analistas no dependen únicamente de las herramientas internas. También pueden consultar fuentes públicas de Threat Intelligence para validar indicadores y obtener más contexto.
Algunas plataformas útiles son:
| Fuente | Uso principal |
|---|---|
| AbuseIPDB | Reputación y reportes de IPs |
| ThreatFox | IoCs asociados a malware |
| URLhaus | URLs utilizadas para distribuir malware |
| MalwareBazaar | Muestras y hashes de malware |
| VirusTotal | Análisis de archivos, hashes, dominios, URLs e IPs |
| AlienVault OTX | Comunidad abierta de Threat Intelligence |
| Cisco Talos Intelligence | Reputación de IPs, dominios y correo |
| IBM X-Force Exchange | Investigación de amenazas y reputación |
| urlscan.io | Análisis de URLs y páginas sospechosas |
| GreyNoise | Diferenciar ruido de Internet de actividad dirigida |
Ejemplo de documentación de un IoC
Una documentación básica de un IoC podría tener esta estructura:
| Campo | Valor de ejemplo |
|---|---|
| Tipo | IP |
| Valor | 185.XXX.XXX.XXX |
| Fuente | Alerta SIEM + validación en AbuseIPDB |
| Fecha de detección | 2026-05-31 |
| Equipo afectado | HOST-1234 |
| Usuario relacionado | usuario.corporativo |
| Evidencia | Conexión saliente detectada tras ejecución de archivo adjunto |
| Acción realizada | Bloqueo en firewall y búsqueda retrospectiva en SIEM |
| Estado | Confirmado |
| Recomendación | Revisar equipos con conexiones hacia la misma IP |
Documentar correctamente un IoC permite que el equipo tenga trazabilidad y pueda reutilizar esa información en futuras investigaciones.
Buenas prácticas al trabajar con IoCs
Trabajar con IoCs requiere criterio. No basta con copiar una lista de indicadores y bloquearlos sin más.
1. Validar antes de actuar
No todos los indicadores son igual de fiables. Antes de bloquear una IP, dominio o hash, es importante revisar su contexto.
2. Evitar falsos positivos
Un dominio puede ser sospechoso, pero también podría pertenecer a un servicio legítimo comprometido temporalmente. Por eso es importante analizar evidencias adicionales.
3. Priorizar según impacto
No todos los IoCs tienen la misma gravedad. Una IP reportada una sola vez no tiene el mismo peso que un hash asociado a una familia de malware activa.
4. Enriquecer con varias fuentes
Consultar diferentes fuentes de Threat Intelligence ayuda a tener una visión más completa.
5. Hacer búsqueda retrospectiva
Si se descubre un IoC nuevo, conviene revisar si ya había aparecido antes en la organización.
6. Documentar siempre
La documentación facilita el seguimiento, la trazabilidad y el aprendizaje del equipo.
7. Actualizar reglas de detección
Los IoCs deben utilizarse para mejorar las capacidades defensivas del entorno.
Conclusión
Un IoC no es solo una IP, un dominio, un hash o una URL sospechosa.
Es una pieza de información que, bien analizada y contextualizada, puede ayudar a entender qué ha ocurrido, detectar otros sistemas afectados y mejorar la respuesta ante amenazas.
Dentro de un SOC, los Indicadores de Compromiso son fundamentales porque permiten transformar una huella técnica en una acción defensiva: buscar, detectar, bloquear, enriquecer y documentar.
En ciberseguridad, algo que parece insignificante puede terminar siendo la clave para entender todo un incidente.
Recurso descargable
Si quieres conservar el material como referencia, puedes descargar el PDF completo aquí:
Descargar PDF: ¿Qué es un IoC?Abrir PDF / Open PDF