CH-CIB-02 · Apoyo 2

Detecta los IoC a tiempo

Guía de reconocimiento de Indicadores de Compromiso · Threat Hunting básico

Tu misión, clara. Observa. Clasifica. Alerta.
Fuente: MITRE ATT&CK v14 · Herramientas: Elasticsearch SIEM · Trellix ePO · Tenable · Imperva
Taxonomía de Indicadores de Compromiso (IoC)
IoC de Red Network
  • IP addresses de servidores C2 conocidos en listas de threat intelligence
  • Dominios de phishing: recién registrados (<30 días), typosquatting (colpensiones-seguro.com)
  • URLs con path de staging de malware (/wp-content/uploads/payload.exe)
  • Patrones de beaconing: conexiones a intervalos exactos (cada 5 min, 15 min)
  • DNS tunneling: volumen anormal de consultas TXT/MX a un solo dominio
  • Certificados SSL inválidos o con Common Names sospechosos
IoC de Host Endpoint
  • Hashes MD5/SHA256 de archivos maliciosos conocidos en bases de datos
  • Procesos anómalos: cmd.exe o PowerShell como proceso hijo de Word.exe
  • Claves de registro de persistencia inusuales (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)
  • Tareas programadas no autorizadas creadas en horario nocturno
  • Archivos ejecutables en rutas inusuales: %TEMP%, AppData, C:\Users\Public\
  • Uso de herramientas LOLBaS: certutil, mshta, regsvr32, wscript para ejecutar código
IoC de Comportamiento Behavioral
  • Acceso a LSASS.exe por proceso no autorizado (dump de credenciales)
  • Múltiples autenticaciones fallidas seguidas de 1 exitosa (posible pass-the-hash)
  • Transferencia de datos >1GB en horario no laboral hacia IP externa
  • PowerShell con parámetros codificados en base64 (-EncodedCommand)
  • Descarga de herramientas de administración remota no autorizadas (PsExec, Mimikatz)
  • Consultas SQL anómalas en volumen: SELECT masivo, WHERE 1=1, dump completo de tablas
Biblioteca de IoC Simulados · Haz clic para analizar
Interactivo: Haz clic sobre cada tarjeta para revelar el análisis — qué tipo de IoC es, su criticidad, qué herramienta de Colpensiones lo detecta y qué acción tomar.
Visor de Logs SIEM · Identifica las anomalías
Simulador: Haz clic en cualquier entrada de log para ver su análisis. Las entradas en rojo pueden ser sospechosas.
Elasticsearch SIEM · Colpensiones — Últimos eventos (10 registros)
Selecciona un log para ver el análisis

Haz clic en cualquier entrada del visor de logs para ver si es normal o sospechosa y por qué.

Guía de Acción Rápida ante un IoC
Protocolo de respuesta cuando detectas un posible indicador de compromiso
Detecto un posible IoC
¿Está confirmado o es sospechoso?
Confirmado
  • Activar ERI inmediatamente
  • Aislar el sistema afectado de la red
  • Notificar al CISO en los próximos 15 min
  • Preservar evidencia digital (logs, imágenes)
  • No apagar el equipo — mantener en memoria
Sospechoso
  • Escalar a SOC L2 de análisis
  • Documentar el hallazgo con timestamp
  • Monitorear el indicador por 4 horas
  • No realizar cambios en el sistema
  • Mantener cadena de custodia del hallazgo
Recuerda: Nunca manejes un incidente confirmado en solitario. El ERI (Equipo de Respuesta a Incidentes) de Colpensiones está disponible 24/7. Contacto: CISO + Mesa de Servicios TI.