Un indicador de compromiso o IOC, del inglés Indicator of Compromise, es toda aquella información relevante que describe cualquier incidente de ciberseguridad, actividad y/o artefacto malicioso, mediante el análisis de sus patrones de comportamiento. La intención de un indicador de compromiso es esquematizar la información que se recibe o se extrae durante el análisis de un incidente, de tal manera que pueda reutilizarse por otros investigadores o afectados, para descubrir la misma evidencia en sus sistemas y llegar a determinar si han sido o no comprometidos ya sea desde el punto de vista de monitorización frente a amenazas o por análisis forense. Por ejemplo, se identifican ficheros creados, entradas de registro modificadas, procesos o servicios nuevos. La idea subyancente es que si se analiza un sistema y se encuentran los detalles recogidos en un indicador de compromiso concreto, se está ante una infección provocada por el malware al que hace referencia dicho indicador de compromiso. Los indicadores de compromiso permiten realizar un intercambio sencillo y práctico de información con el fin de detectar intrusos a partir de análisis forenses, respuestas a incidentes o análisis de malware.
Los indicadores de compromiso son recogidos, almacenados y distribuidos por las llamadas Plataformas de inteligencia contra amenazas (TIP) que permiten la administración de la inteligencia sobre amenazas informáticas y de las entidades asociadas como actores, campañas, incidentes, firmas, boletines y tácticas, técnicas y procedimientos. Ejemplos de este tipo de herramientas son MANTIS y MISP.
« Índice del glosario