IP addresses de servidores C2 conocidos en listas de threat intelligence
Dominios de phishing: recién registrados (<30 días), typosquatting (colpensiones-seguro.com)
URLs con path de staging de malware (/wp-content/uploads/payload.exe)
Patrones de beaconing: conexiones a intervalos exactos (cada 5 min, 15 min)
DNS tunneling: volumen anormal de consultas TXT/MX a un solo dominio
Certificados SSL inválidos o con Common Names sospechosos
IoC de Host Endpoint
Hashes MD5/SHA256 de archivos maliciosos conocidos en bases de datos
Procesos anómalos: cmd.exe o PowerShell como proceso hijo de Word.exe
Claves de registro de persistencia inusuales (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)
Tareas programadas no autorizadas creadas en horario nocturno
Archivos ejecutables en rutas inusuales: %TEMP%, AppData, C:\Users\Public\
Uso de herramientas LOLBaS: certutil, mshta, regsvr32, wscript para ejecutar código
IoC de Comportamiento Behavioral
Acceso a LSASS.exe por proceso no autorizado (dump de credenciales)
Múltiples autenticaciones fallidas seguidas de 1 exitosa (posible pass-the-hash)
Transferencia de datos >1GB en horario no laboral hacia IP externa
PowerShell con parámetros codificados en base64 (-EncodedCommand)
Descarga de herramientas de administración remota no autorizadas (PsExec, Mimikatz)
Consultas SQL anómalas en volumen: SELECT masivo, WHERE 1=1, dump completo de tablas
Biblioteca de IoC Simulados · Haz clic para analizar
Interactivo: Haz clic sobre cada tarjeta para revelar el análisis — qué tipo de IoC es, su criticidad, qué herramienta de Colpensiones lo detecta y qué acción tomar.
Visor de Logs SIEM · Identifica las anomalías
Simulador: Haz clic en cualquier entrada de log para ver su análisis. Las entradas en rojo pueden ser sospechosas.
Haz clic en cualquier entrada del visor de logs para ver si es normal o sospechosa y por qué.
Guía de Acción Rápida ante un IoC
Protocolo de respuesta cuando detectas un posible indicador de compromiso
Detecto un posible IoC
¿Está confirmado o es sospechoso?
Confirmado
Activar ERI inmediatamente
Aislar el sistema afectado de la red
Notificar al CISO en los próximos 15 min
Preservar evidencia digital (logs, imágenes)
No apagar el equipo — mantener en memoria
Sospechoso
Escalar a SOC L2 de análisis
Documentar el hallazgo con timestamp
Monitorear el indicador por 4 horas
No realizar cambios en el sistema
Mantener cadena de custodia del hallazgo
Recuerda: Nunca manejes un incidente confirmado en solitario. El ERI (Equipo de Respuesta a Incidentes) de Colpensiones está disponible 24/7. Contacto: CISO + Mesa de Servicios TI.