La diferencia entre un indicador de compromiso (IOC) y un indicador de ataque (IOA) es una de las distinciones más útiles de la inteligencia de amenazas: un IOC es la huella que deja un ataque ya ocurrido (un hash, una IP de C2, un dominio malicioso), mientras que un IOA describe el comportamiento del adversario mientras ataca (su intención y su técnica), con independencia del malware concreto que utilice.
Esta guía empieza por la comparación IOC vs IOA para dejarla clara en una frase, define después qué es un indicador de compromiso y qué artefactos concretos incluye, explica los indicadores de ataque y su relación con las TTP y MITRE ATT&CK, aborda la caducidad de los IOC, repasa los formatos y feeds para compartirlos (MISP, OTX, STIX/TAXII) y termina mostrando cómo un SOC operacionaliza ambos.
IOC vs IOA: la diferencia en una frase
Un IOC (Indicator of Compromise) es evidencia forense de que un sistema ya ha sido comprometido: responde a la pregunta "¿qué ha pasado?". Un IOA (Indicator of Attack) describe la secuencia de acciones que un atacante ejecuta para alcanzar su objetivo: responde a "¿qué está intentando hacer?". El IOC es reactivo y mira al pasado; el IOA es proactivo y detecta la intención en tiempo real, antes de que el daño se consuma.
Qué es un indicador de compromiso (IOC)
Un indicador de compromiso es un artefacto observable en una red o en un endpoint que, con una confianza razonable, señala actividad maliciosa. Son datos atómicos, fáciles de buscar y de compartir, y por eso constituyen la moneda de cambio de la inteligencia táctica. Los tipos más habituales se agrupan en dos familias.
Artefactos de fichero
- Hashes: MD5, SHA-1 y sobre todo SHA-256 de un binario malicioso. Un EDR puede bloquear un ejecutable por su SHA-256 en segundos.
- Nombres y rutas: un dropper que siempre se escribe en
C:\Users\Public\svchost.exe, por ejemplo. - Claves de registro: persistencia en
HKCU\Software\Microsoft\Windows\CurrentVersion\Runo un servicio recién creado. - Mutex: nombres de mutex que una familia usa para no infectar dos veces la misma máquina.
Artefactos de red
- IP de C2: la dirección del servidor de mando y control.
- Dominios y URL: el dominio desde el que se descarga la segunda fase o al que baliza el implante.
- Huellas TLS: fingerprints JA3/JA3S del cliente y del servidor en el handshake.
Un buen marco mental para clasificar los IOC es la pirámide del dolor de David J. Bianco (2013), que ordena los indicadores según lo doloroso que resulta para el atacante que se los quememos: en la base están los hashes (trivial cambiarlos), luego IP, dominios y artefactos de red o de host, y en la cima las herramientas y las TTP (lo más caro de cambiar). Cuanto más arriba detectas, más obligas al adversario a rehacer su operación.
Qué es un indicador de ataque (IOA)
Un indicador de ataque describe el comportamiento del adversario, no el artefacto que deja atrás. No importa qué binario use ni desde qué IP llegue: lo que se detecta es la secuencia lógica de acciones. Algunos ejemplos concretos:
- Un documento de Office que lanza
powershell.execon un comando codificado en base64 para descargar una carga (mapea a MITRE ATT&CK T1059.001). - Un proceso que accede a la memoria de
lsass.exepara volcar credenciales (T1003.001), tanto si usa Mimikatz, comsvcs.dll o una herramienta a medida. - La creación de una tarea programada por una cuenta no administrativa (T1053.005) seguida de conexiones salientes periódicas.
El IOA es, en esencia, una TTP (táctica, técnica y procedimiento) expresada como regla de detección. Por eso resiste el cambio de infraestructura: aunque el atacante rote su C2 y recompile el malware para alterar el hash, la técnica de volcar LSASS sigue siendo la misma. Esta es la lógica que sostiene el threat hunting basado en TTP frente al basado en IoC.
IOC vs IOA: comparación
- Naturaleza: el IOC es un dato estático (hash, IP, dominio); el IOA es un patrón de comportamiento.
- Momento: el IOC confirma un compromiso que ya ocurrió; el IOA detecta el ataque en curso.
- Resiliencia: los IOC se queman rápido; los IOA sobreviven a los cambios de infraestructura del atacante.
- Coste de detección: los IOC son baratos de buscar y automatizar; los IOA exigen ingeniería de detección y contexto.
- Falsos positivos: los IOC bien curados generan pocos; los IOA, al basarse en comportamiento, requieren más ajuste.
Los dos son complementarios. Un programa maduro bloquea con IOC lo conocido y caza con IOA lo desconocido.
La caducidad de los IOC
El talón de Aquiles del IOC es su corta vida útil. Un atacante recompila su binario y el SHA-256 cambia; rota su infraestructura y la IP de C2 queda inservible en horas; registra un dominio nuevo por unos dólares. Los feeds envejecen: una IP que hoy es C2 mañana puede ser un servidor legítimo reasignado, y mantener un indicador caducado genera falsos positivos y ruido. Por eso los IOC llevan metadatos de confianza y de expiración, y las plataformas los degradan automáticamente con el tiempo (los llamados decaying models en MISP). La pirámide del dolor explica el porqué: cuanto más abajo está el indicador, más efímero es. Este es el argumento central para invertir también en detección por comportamiento y no depender solo de listas de bloqueo.
Formatos y feeds para compartir inteligencia
Para que un IOC sirva a toda la comunidad hacen falta un formato común y un canal de distribución:
- STIX 2.1: lenguaje estructurado (JSON) para describir indicadores, campañas, actores y relaciones. Es el estándar de facto de OASIS.
- TAXII 2.1: el protocolo de transporte que sirve colecciones STIX vía HTTPS (con modelo de suscripción).
- MISP: plataforma abierta de intercambio con su propio formato, comunidades sectoriales y modelos de decaimiento; permite exportar a IDS (Suricata/Snort), Sigma y STIX.
- OpenIOC: esquema XML heredado de Mandiant, aún presente en informes antiguos.
- Feeds públicos: AlienVault OTX, la familia abuse.ch (URLhaus, ThreatFox, Feodo Tracker, SSLBL), Spamhaus y el programa AIS de CISA.
En el plano de detección, los IOC se traducen a reglas concretas: firmas Snort/Suricata para la red, reglas YARA para ficheros y memoria, y reglas Sigma como formato común de detección para el SIEM.
Cómo un SOC operacionaliza IOC e IOA
El flujo típico en un centro de operaciones sigue cinco pasos:
- Ingesta: los feeds llegan a una plataforma de inteligencia (TIP) como MISP u OpenCTI, que deduplica, puntúa y enriquece cada indicador.
- Distribución: la TIP empuja los IOC de alta confianza a las watchlists del SIEM y a las listas de bloqueo del EDR.
- Retro-hunting: cada IOC nuevo se busca también en los logs históricos, por si el compromiso es anterior a la publicación del indicador.
- Detección por IOA: en paralelo, el equipo de ingeniería de detección escribe reglas de comportamiento (Sigma, reglas de EDR) mapeadas a MITRE ATT&CK, que no dependen de indicadores concretos.
- Sightings y realimentación: cuando un IOC se observa en el entorno se registra un sighting que ajusta su confianza y alimenta de vuelta a la comunidad.
Un ejemplo une ambos mundos: en la explotación de Log4Shell (CVE-2021-44228), el IOC es la cadena JNDI en un log o la IP LDAP maliciosa, mientras que el IOA es el proceso Java que engendra un shell hijo, un comportamiento anómalo que se detecta aunque el atacante cambie por completo su infraestructura. La visibilidad temprana de indicadores en fuentes cerradas se refuerza con la monitorización de la dark web y con el seguimiento de familias como los infostealers.
Preguntas frecuentes
¿Cuál es la diferencia entre IOC e IOA?
Un IOC es evidencia de que un compromiso ya ocurrió (un hash, una IP, un dominio). Un IOA describe el comportamiento y la intención del atacante mientras ataca, con independencia del malware o la infraestructura que emplee. El IOC mira al pasado; el IOA detecta en tiempo real.
¿Por qué caducan los indicadores de compromiso?
Porque el atacante los cambia con facilidad: recompila el binario (nuevo hash), rota su C2 (nueva IP) o registra dominios nuevos. Además, un indicador viejo puede reasignarse a un recurso legítimo y generar falsos positivos, por lo que se le asigna una fecha de expiración.
¿Qué formatos se usan para compartir IOC?
Los más comunes son STIX 2.1 (descripción) sobre TAXII 2.1 (transporte), la plataforma MISP con su propio formato, el heredado OpenIOC y feeds como AlienVault OTX o abuse.ch. Para detección se traducen a reglas Snort/Suricata, YARA y Sigma.
¿Es mejor detectar por IOC o por IOA?
No es una elección excluyente. Los IOC son baratos y bloquean amenazas conocidas de inmediato; los IOA resisten los cambios de infraestructura y detectan técnicas, no artefactos. Un programa maduro combina ambos.
¿Qué es la pirámide del dolor?
Es un modelo de David J. Bianco (2013) que ordena los indicadores según lo costoso que resulta para el atacante que los detectes: hashes e IP en la base (fáciles de cambiar) y herramientas y TTP en la cima (muy caras de cambiar). Detectar arriba causa más dolor al adversario.
Recursos relacionados
- Qué es la Cyber Kill Chain: dónde encajan los indicadores en las fases de una intrusión.
- Qué es threat hunting: la caza basada en IoC frente a la basada en TTP.
- Qué es YARA: cómo se convierten los IOC de fichero en reglas de detección.
- Qué es un SIEM y qué es un EDR: dónde se operacionalizan los indicadores.
IOC e IOA en Secra
En Secra integramos inteligencia táctica en las operaciones de nuestros clientes: curamos feeds, desplegamos y afinamos plataformas MISP y OpenCTI y traducimos indicadores y comportamientos en reglas de detección accionables para el SIEM y el EDR. Si quieres enriquecer tu SOC con inteligencia de amenazas útil y con baja tasa de falsos positivos, escríbenos por contacto o consulta nuestro servicio de threat intelligence.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

