Después de un robo en el edificio de una empresa, a nadie se le ocurriría meter descuidadamente todos los restos del crimen en una bolsa de basura, aspirarla a fondo y luego volver a la normalidad. Después de todo, cada rastro, desde un trozo de tela hasta una herramienta faltante o una cerradura de puerta rota, puede ayudar a identificar al culpable. Si combina estas pistas, en el mejor de los casos obtendrá una imagen completa del robo.

anuncio

Lo mismo ocurre en el espacio digital. En última instancia, las redes comprometidas no son más que escenas de crímenes digitales llenas de rastros de acceso no autorizado, los llamados indicadores de compromiso (IoC). Al recopilarlos, evaluarlos y correlacionarlos, podrá comprender mejor un riesgo, ya sea un ataque dirigido o una infección de malware a gran escala.

Pero los IoC también son útiles después de un incidente existente. Su presencia en otras redes indica que allí también puede haber algo mal. Comprender el procedimiento ayuda a implementar medidas efectivas de primeros auxilios y desarrollar estrategias de defensa personalizadas. También permite a los administradores de TI comunicar con precisión los detalles de los incidentes de seguridad. Dentro de su propio equipo, pero también hacia los empleados, el público u otras organizaciones en riesgo.

En los últimos años, los IoC se han convertido en una herramienta importante para los defensores de las TI. Es tan importante que el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y el Grupo de Trabajo de Ingeniería de Internet (IETF) publicaron hace unos meses una contribución de información pionera en forma de Solicitar comentarios 9424 (RFC 9424) sobre este tema. Partiendo de esta base, te explicamos qué son realmente los IoC, qué puedes hacer con ellos y qué debes tener en cuenta.