Volver al blog
Blue TeamEspañol activo

¿Qué es un IoC y por qué es importante en ciberseguridad?

Guía práctica sobre Indicadores de Compromiso, sus tipos, cómo se detectan y cómo los utiliza un SOC durante una investigación.

2026-05-3112 min
CiberseguridadSOCIoCThreat IntelligenceBlue TeamSIEMEDR

En ciberseguridad, no siempre es fácil saber si algo es realmente malicioso a simple vista.

Una IP externa, un dominio poco habitual, un archivo desconocido, un proceso extraño o una conexión fuera de lo normal pueden parecer eventos aislados dentro de toda la actividad que se analiza a diario.

Sin embargo, en algunos casos, esas pequeñas señales pueden ser la pista que permite detectar una amenaza, entender qué ha ocurrido y bloquear actividad maliciosa antes de que afecte a más sistemas.

Ahí es donde entran los Indicadores de Compromiso, también conocidos como IoCs.

Un IoC es una huella técnica que puede indicar que un sistema, una red o una cuenta han sido comprometidos. No es necesariamente el ataque en sí, sino una evidencia observable que puede ayudar a identificar actividad maliciosa o sospechosa.

¿Para qué sirve un IoC?

Los IoCs permiten a los equipos de seguridad detectar, investigar y responder ante posibles amenazas.

Cuando una actividad coincide con un IoC conocido, el equipo de seguridad puede utilizar esa información para:

  • Identificar sistemas potencialmente afectados.
  • Bloquear conexiones hacia infraestructuras maliciosas.
  • Crear reglas de detección en herramientas de seguridad.
  • Investigar el alcance de un incidente.
  • Documentar evidencias para futuras investigaciones.
  • Enriquecer alertas con contexto de Threat Intelligence.

Por ejemplo, si una organización detecta conexiones hacia un dominio asociado a malware, ese dominio puede considerarse un IoC. A partir de ahí, el SOC puede revisar qué equipos se conectaron a ese dominio, bloquearlo y comprobar si existe actividad relacionada en otros sistemas.

IoC no significa ataque confirmado

Un punto importante es que un IoC no siempre confirma por sí solo que haya ocurrido un ataque.

Un indicador debe analizarse dentro de un contexto.

Por ejemplo, una IP puede aparecer reportada como maliciosa en una fuente pública, pero eso no significa automáticamente que cualquier conexión hacia ella sea un incidente crítico. El analista debe revisar otros elementos como:

  • Qué equipo realizó la conexión.
  • En qué momento ocurrió.
  • Qué usuario estaba autenticado.
  • Qué proceso generó la conexión.
  • Si hubo descarga o ejecución de archivos.
  • Si existen eventos similares en otros sistemas.
  • Si la IP aparece asociada a campañas o malware conocidos.

La clave no está solo en encontrar una IP, un dominio o un hash extraño, sino en entender si esa huella está realmente relacionada con actividad maliciosa.

Tipos de IoCs

Los IoCs pueden clasificarse según el tipo de huella que deja el atacante.

IoCs de red

Son indicadores relacionados con la comunicación entre sistemas.

Algunos ejemplos:

  • Direcciones IP sospechosas.
  • Dominios maliciosos.
  • URLs de phishing.
  • Conexiones hacia países no habituales.
  • Puertos inusuales.
  • Patrones anómalos de tráfico.
  • Comunicaciones con servidores de Command and Control.

Ejemplo:

185.XXX.XXX.XXX
malicious-domain[.]com
hxxp://example[.]com/payload.exe

IoCs de archivo

Son indicadores relacionados con archivos sospechosos o maliciosos.

Algunos ejemplos:

  • Hashes MD5, SHA1 o SHA256.
  • Nombres de archivo extraños.
  • Extensiones sospechosas.
  • Rutas poco habituales.
  • Firmas de malware.
  • Archivos ejecutados desde directorios temporales.

Ejemplo:

SHA256: 5f2d7c1b9a0e8f4c6d3b2a1e...
C:\Users\Public\update.exe
C:\Users\AppData\Local\Temp\invoice.scr

Los hashes son especialmente útiles porque permiten identificar un archivo concreto. Si el mismo hash aparece en otros equipos, puede indicar que la misma muestra se ha ejecutado o descargado en varios sistemas.

IoCs de sistema

Son indicadores observables dentro del propio sistema operativo.

Algunos ejemplos:

  • Procesos desconocidos.
  • Servicios creados sin autorización.
  • Tareas programadas sospechosas.
  • Cambios en claves de registro.
  • Persistencia mediante rutas inusuales.
  • Creación de usuarios no autorizados.
  • Modificaciones en configuraciones críticas.

Ejemplo:

Proceso: update.exe
Ruta: C:\Users\Public\update.exe
Persistencia: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

IoCs de autenticación

Están relacionados con accesos, credenciales y comportamiento de usuarios.

Algunos ejemplos:

  • Múltiples inicios de sesión fallidos.
  • Accesos desde ubicaciones no habituales.
  • Uso de credenciales en horarios extraños.
  • Inicio de sesión desde países inusuales.
  • Autenticaciones imposibles por geolocalización.
  • Uso anómalo de cuentas privilegiadas.
  • Cuentas comprometidas.

Ejemplo:

Usuario: admin.corp
Evento: múltiples fallos de autenticación
Origen: IP externa no habitual
Hora: 03:42 AM

Este tipo de IoC es muy importante en entornos corporativos, especialmente cuando se investigan ataques de fuerza bruta, password spraying, robo de credenciales o accesos no autorizados.

IoCs de correo

Son indicadores asociados a campañas de phishing o malware distribuido por email.

Algunos ejemplos:

  • Remitentes falsificados.
  • Dominios similares a los legítimos.
  • Adjuntos maliciosos.
  • Enlaces de phishing.
  • Asuntos sospechosos.
  • Cabeceras de correo manipuladas.
  • URLs acortadas o redirecciones.

Ejemplo:

Remitente: soporte@micros0ft-security[.]com
Asunto: Actualización urgente de contraseña
Adjunto: factura_enero.xlsm
URL: hxxps://login-microsoft-secure[.]com

IoCs de comportamiento

Son indicadores relacionados con acciones sospechosas dentro de un entorno.

Algunos ejemplos:

  • Ejecución de comandos inusuales.
  • Movimiento lateral.
  • Escalada de privilegios.
  • Exfiltración de datos.
  • Uso de herramientas administrativas con fines maliciosos.
  • Descarga de payloads.
  • Conexiones repetidas hacia infraestructura externa.

Ejemplo:

powershell.exe -ExecutionPolicy Bypass -NoProfile -EncodedCommand ...

Los IoCs de comportamiento suelen ser más difíciles de detectar, pero también son muy valiosos porque pueden revelar acciones del atacante más allá de un simple hash o dominio.

IoCs en logs

Los logs son una fuente fundamental para encontrar indicadores durante una investigación.

Algunos ejemplos:

  • Eventos repetidos.
  • Errores anómalos.
  • Actividad fuera de horario.
  • Accesos desde IPs desconocidas.
  • Cambios inesperados en configuración.
  • Ejecución de comandos.
  • Creación de procesos sospechosos.

Ejemplo:

Event ID: 4625
Description: Failed logon
Source IP: 203.0.113.50
User: administrator

¿Cómo se detectan nuevos IoCs?

Los nuevos IoCs suelen descubrirse durante una investigación de seguridad.

Cuando llega una alerta al SOC, el analista empieza a revisar diferentes fuentes de información para entender qué ha ocurrido:

  • Logs del sistema.
  • Conexiones de red.
  • Procesos ejecutados.
  • Archivos creados o modificados.
  • Eventos del EDR.
  • Alertas del SIEM.
  • Cabeceras de correo.
  • Reputación de IPs, dominios o hashes.
  • Comportamiento del equipo afectado.

La clave está en encontrar evidencias que puedan reutilizarse para detectar la misma amenaza en otros sistemas.

Un IoC nace cuando una actividad sospechosa se convierte en una huella técnica útil.

Caso de uso: de una alerta a un IoC

Imaginemos un escenario habitual dentro de un SOC.

Llega una alerta relacionada con un correo sospechoso que contiene un archivo adjunto. El usuario ha abierto el archivo y, poco después, el EDR detecta la ejecución de un proceso inusual.

El analista decide revisar la muestra en una sandbox como ANY.RUN para observar su comportamiento en un entorno controlado.

Durante el análisis, se detecta que el archivo:

  • Lanza procesos inesperados.
  • Crea archivos en rutas temporales.
  • Intenta establecer conexión con una IP externa.
  • Ejecuta comandos sospechosos.
  • Se comunica con un dominio poco habitual.

Después, el analista consulta la IP en una fuente como AbuseIPDB y observa que aparece reportada por actividad maliciosa.

A partir de la investigación, se pueden extraer varios IoCs:

Tipo de IoCEjemplo
IPDirección IP externa reportada
HashSHA256 del archivo adjunto
ProcesoNombre del proceso ejecutado
RutaUbicación donde se creó el archivo
DominioDominio contactado por la muestra
URLRecurso solicitado durante la conexión

Estos indicadores pueden utilizarse para buscar la misma actividad en otros equipos de la organización.

¿Qué hace un SOC con los IoCs?

Cuando un IoC se confirma, no se queda como un simple dato técnico. El SOC puede utilizarlo para mejorar la detección y respuesta ante amenazas.

Buscar equipos afectados

El primer paso suele ser comprobar si otros sistemas han tenido actividad relacionada con ese indicador.

Por ejemplo:

¿Otros equipos se han conectado a la misma IP?
¿El mismo hash aparece en más endpoints?
¿El dominio sospechoso ha sido resuelto por otros usuarios?
¿El proceso se ha ejecutado en más máquinas?

Esto permite medir el alcance del incidente.

Crear reglas de detección

Una vez validado el IoC, el equipo puede crear reglas para detectar si vuelve a aparecer.

Estas reglas pueden aplicarse en:

  • SIEM.
  • EDR.
  • Firewall.
  • Proxy.
  • IDS/IPS.
  • DNS filtering.
  • Plataformas SOAR.

Ejemplo simple de lógica de detección:

SI destino_ip == "185.XXX.XXX.XXX"
ENTONCES generar alerta "Conexión hacia IP maliciosa conocida"

También podría generarse una regla para detectar un hash concreto:

SI file.sha256 == "5f2d7c1b9a0e8f4c6d3b2a1e..."
ENTONCES generar alerta "Archivo malicioso detectado"

Bloquear amenazas

Si el indicador está confirmado como malicioso, puede bloquearse para reducir el riesgo.

Algunas acciones posibles:

  • Bloquear una IP en firewall.
  • Bloquear un dominio en DNS filtering.
  • Bloquear una URL en proxy.
  • Aislar un endpoint desde el EDR.
  • Eliminar un archivo malicioso.
  • Bloquear un hash.
  • Revocar credenciales comprometidas.

El objetivo es impedir que la amenaza siga propagándose o que otros equipos lleguen a comunicarse con la misma infraestructura maliciosa.

Enriquecer alertas

Los IoCs también se pueden enriquecer con información adicional de Threat Intelligence.

Por ejemplo:

  • Reputación del indicador.
  • País de origen.
  • ASN.
  • Malware asociado.
  • Campañas relacionadas.
  • Primera y última vez que fue visto.
  • Nivel de confianza.
  • Relación con otros indicadores.

Esto ayuda al analista a priorizar y entender mejor la amenaza.

Documentar el incidente

La documentación es una parte fundamental del trabajo en un SOC.

Cuando se confirma un IoC, es importante registrar:

  • Qué indicador se encontró.
  • Dónde apareció.
  • Qué sistemas afectó.
  • Qué evidencias lo respaldan.
  • Qué acciones se realizaron.
  • Qué reglas se crearon.
  • Qué bloqueos se aplicaron.
  • Qué recomendaciones se deben seguir.

Una buena documentación permite que futuras investigaciones sean más rápidas y que otros analistas puedan entender el contexto del incidente.

Fuentes públicas para consultar IoCs

Los analistas no dependen únicamente de las herramientas internas. También pueden consultar fuentes públicas de Threat Intelligence para validar indicadores y obtener más contexto.

Algunas plataformas útiles son:

FuenteUso principal
AbuseIPDBReputación y reportes de IPs
ThreatFoxIoCs asociados a malware
URLhausURLs utilizadas para distribuir malware
MalwareBazaarMuestras y hashes de malware
VirusTotalAnálisis de archivos, hashes, dominios, URLs e IPs
AlienVault OTXComunidad abierta de Threat Intelligence
Cisco Talos IntelligenceReputación de IPs, dominios y correo
IBM X-Force ExchangeInvestigación de amenazas y reputación
urlscan.ioAnálisis de URLs y páginas sospechosas
GreyNoiseDiferenciar ruido de Internet de actividad dirigida

Ejemplo de documentación de un IoC

Una documentación básica de un IoC podría tener esta estructura:

CampoValor de ejemplo
TipoIP
Valor185.XXX.XXX.XXX
FuenteAlerta SIEM + validación en AbuseIPDB
Fecha de detección2026-05-31
Equipo afectadoHOST-1234
Usuario relacionadousuario.corporativo
EvidenciaConexión saliente detectada tras ejecución de archivo adjunto
Acción realizadaBloqueo en firewall y búsqueda retrospectiva en SIEM
EstadoConfirmado
RecomendaciónRevisar equipos con conexiones hacia la misma IP

Documentar correctamente un IoC permite que el equipo tenga trazabilidad y pueda reutilizar esa información en futuras investigaciones.

Buenas prácticas al trabajar con IoCs

Trabajar con IoCs requiere criterio. No basta con copiar una lista de indicadores y bloquearlos sin más.

1. Validar antes de actuar

No todos los indicadores son igual de fiables. Antes de bloquear una IP, dominio o hash, es importante revisar su contexto.

2. Evitar falsos positivos

Un dominio puede ser sospechoso, pero también podría pertenecer a un servicio legítimo comprometido temporalmente. Por eso es importante analizar evidencias adicionales.

3. Priorizar según impacto

No todos los IoCs tienen la misma gravedad. Una IP reportada una sola vez no tiene el mismo peso que un hash asociado a una familia de malware activa.

4. Enriquecer con varias fuentes

Consultar diferentes fuentes de Threat Intelligence ayuda a tener una visión más completa.

5. Hacer búsqueda retrospectiva

Si se descubre un IoC nuevo, conviene revisar si ya había aparecido antes en la organización.

6. Documentar siempre

La documentación facilita el seguimiento, la trazabilidad y el aprendizaje del equipo.

7. Actualizar reglas de detección

Los IoCs deben utilizarse para mejorar las capacidades defensivas del entorno.

Conclusión

Un IoC no es solo una IP, un dominio, un hash o una URL sospechosa.

Es una pieza de información que, bien analizada y contextualizada, puede ayudar a entender qué ha ocurrido, detectar otros sistemas afectados y mejorar la respuesta ante amenazas.

Dentro de un SOC, los Indicadores de Compromiso son fundamentales porque permiten transformar una huella técnica en una acción defensiva: buscar, detectar, bloquear, enriquecer y documentar.

En ciberseguridad, algo que parece insignificante puede terminar siendo la clave para entender todo un incidente.

Recurso descargable

Si quieres conservar el material como referencia, puedes descargar el PDF completo aquí:

Descargar PDF: ¿Qué es un IoC?Abrir PDF / Open PDF