Saltar al contenido

Elevando el Coste al Adversario: IOCs, IOAs y la Pirámide del Dolor

    Autor: Pablo Burgos San Cristobal

    1. Introducción

    La saturación de alertas es uno de los síntomas más evidentes de una estrategia de defensa poco eficaz. Cada día, los Centros de Operaciones de Seguridad (SOC) dedican una gran cantidad de tiempo a investigar direcciones IP, dominios o hashes que los actores de amenaza pueden modificar en cuestión de minutos. Este enfoque, basado casi exclusivamente en Indicadores de Compromiso (IOCs), empuja a los equipos defensivos a una dinámica reactiva, costosa y difícil de sostener.

    Pero, el problema no está en utilizar IOCs, los cuales siguen siendo útiles para la detección, la contención y la respuesta ante incidentes. El problema aparece cuando se convierten en el eje principal de la estrategia de ciberinteligencia, ya que un hash puede cambiar con una simple recompilación del malware, una dirección IP puede rotarse y un dominio puede abandonarse. Mientras que el comportamiento del adversario suele permanecer más estable y persistente en el tiempo.

    Por ello, los equipos de CTI y SOC deben evolucionar desde la simple acumulación de indicadores hacia el análisis del comportamiento del adversario. Esto implica distinguir entre Indicadores de Compromiso (IOCs) e Indicadores de Ataque (IOAs), gestionar correctamente el ciclo de vida de los indicadores y aplicar modelos como la Pirámide del Dolor para aumentar el coste operativo del atacante.

    2. Indicadores de Compromiso (IOCs) vs. Indicadores de Ataque (IOAs)

    La diferencia entre un Indicador de Compromiso (IOC) y un Indicador de Ataque (IOA) es clave para entender la evolución de una estrategia de detección. Mientras que el IOC permite identificar evidencias asociadas a una actividad dañina ya observada, el IOA se centra en detectar comportamientos que pueden indicar una intrusión en curso.

    Un IOC es una evidencia técnica concreta, puede ser el hash de un archivo dañino, una dirección IP utilizada como servidor de mando y control (C2), un dominio asociado a una campaña de phishing o una clave de registro modificada por malware. Su valor principal está en la detección y contención de amenazas conocidas, así como en el análisis forense posterior a un incidente.

    Sin embargo, los IOCs tienen una limitación importante, suelen ser fáciles de modificar. Por ejemplo, un atacante puede recompilar un binario para cambiar su hash, rotar una dirección IP, utilizar nuevos dominios o apoyarse en infraestructura comprometida de terceros. Por eso, una estrategia basada únicamente en IOCs tiende a generar una defensa reactiva, muy dependiente de listas negras, feeds externos y reglas de coincidencia exacta.

    Los IOAs, en cambio, se orientan al comportamiento y no buscan únicamente un artefacto dañino concreto, sino una secuencia de acciones sospechosas que reflejan la intención del adversario. Por ejemplo, la ejecución de PowerShell con comandos codificados en Base64, seguida de la descarga de un binario externo y la inyección en un proceso legítimo, puede constituir un IOA. Lo relevante no es solo la herramienta utilizada, sino la combinación de acciones y el contexto en el que se producen.

    Este enfoque permite detectar actividad dañina incluso cuando los indicadores tradicionales todavía no existen en ningún feed de inteligencia. También facilita la identificación de campañas dirigidas, variantes nuevas de malware o uso abusivo de herramientas legítimas del sistema, como PowerShell, WMI, PsExec o LOLBins.

    La relación entre IOCs e IOAs no debe entenderse como una sustitución absoluta, ambos tipos de indicadores cumplen funciones distintas dentro de una estrategia CTI madura. Los IOCs son útiles para responder rápido ante amenazas conocidas, mientras que los IOAs permiten anticipar, detectar y contextualizar comportamientos asociados a técnicas de ataque.

    Tipo de IndicadorNaturalezaEjemplos Técnicos
    IOC (Indicador de Compromiso)Reactiva: Evidencia forense de un sistema ya vulnerado.Hashes de archivos (MD5/SHA), direcciones IP de C2 conocidas, dominios dañinos.
    IOA (Indicador de Ataque)Proactiva: Detección de comportamientos y telemetría de ejecución en tiempo real.Inyección de código en memoria, movimientos laterales (SMB/WMI), ejecución de procesos inusuales.

    3. El ciclo de vida del indicador

    Uno de los errores más habituales en la gestión de inteligencia de amenazas es tratar todos los indicadores como si tuvieran el mismo valor, la misma fiabilidad y la misma vigencia. En una plataforma TIP (Threat Intelligence Platform), en un SIEM o en una herramienta EDR, un indicador no debería entenderse como un dato estático, sino como una pieza de inteligencia con contexto, nivel de confianza y fecha de caducidad.

    Para que un indicador sea realmente útil, debe pasar por un ciclo de vida que permita diferenciar el dato bruto de la inteligencia accionable. Este ciclo puede dividirse en tres fases: 

    • Revelación: La fase de revelación corresponde al momento en el que el indicador aparece por primera vez. Puede proceder de una investigación interna de respuesta a incidentes, de una fuente OSINT, de un feed comercial, de una comunidad de intercambio de inteligencia o de una campaña observada por un proveedor externo. En este punto, el indicador todavía es un dato en bruto, puede ser una dirección IP, un dominio, una URL, un hash, una regla YARA, una firma Sigma o una observación de comportamiento. Sin embargo, aún no se conoce con suficiente precisión su contexto, su alcance ni su relevancia para la organización. Por este motivo, desplegar indicadores recién descubiertos directamente en mecanismos de bloqueo puede generar más problemas que beneficios. Una dirección IP puede pertenecer a infraestructura compartida, un dominio puede haber sido comprometido temporalmente y un hash puede corresponder a una herramienta legítima utilizada en un contexto concreto. Sin validación previa, el riesgo de falsos positivos y de impacto operativo aumenta de forma considerable.
    • Maduración: La maduración es la fase en la que el indicador se valida, se contextualiza y se correlaciona con otras fuentes. El objetivo no es acumular más datos, sino determinar si ese indicador es fiable, relevante y útil para la defensa de la organización. Durante esta fase, el analista CTI debe responder preguntas concretas: ¿a qué campaña o actor de amenaza está asociado?, ¿Qué táctica, técnica o procedimiento utiliza el atacante?, ¿La infraestructura es dedicada, compartida o comprometida?, ¿El indicador afecta a nuestro sector, región o superficie tecnológica?, ¿Cuál es su nivel de confianza?, ¿Qué ventana temporal de validez tiene?. Este proceso permite enriquecer el indicador con contexto operativo. Por ejemplo, un dominio aislado aporta poco valor, pero ese mismo dominio asociado a una campaña activa de phishing contra entidades financieras, vinculado a un TTP concreto y observado en telemetría interna, se convierte en inteligencia accionable. La maduración también ayuda a priorizar, ya que no todos los indicadores deben tener el mismo tratamiento. Algunos podrán usarse para bloqueo preventivo, otros para detección, otros para hunting y otros simplemente para seguimiento o enriquecimiento contextual.
    • Utilidad: La fase de utilidad comienza cuando el indicador madurado se incorpora a los procesos defensivos. Puede desplegarse en un firewall, en una solución EDR, en un SIEM, en una plataforma SOAR, en consultas de threat hunting o en playbooks de respuesta ante incidentes. En esta fase es importante definir el uso adecuado del indicador, ya que no todos los indicadores deben bloquearse automáticamente. Algunos son más adecuados para generar alertas de baja severidad, otros para enriquecer eventos, otros para activar una investigación y otros para alimentar hipótesis de hunting. La decisión debe depender del nivel de confianza, el impacto potencial y el contexto de negocio. La utilidad, además, no es permanente, ya que los indicadores envejecen. Por ejemplo, una IP dañina puede volver a ser asignada a un servicio legítimo, un dominio puede cambiar de propietario, una URL puede desaparecer y una campaña puede finalizar. Por ello, mantener indicadores obsoletos en producción degrada la calidad de la detección, incrementa el ruido y puede provocar bloqueos indebidos. Por eso, una estrategia CTI madura debe incluir políticas de expiración, revisión y revocación de indicadores. 

    Gestionar correctamente este ciclo de vida permite que el SOC trabaje con inteligencia fresca, contextualizada y accionable. Ya que no depende del volumen de indicadores ingeridos, sino de su capacidad para convertir datos inconexos en decisiones defensivas útiles.

    4. La Pirámide del Dolor: Infligir el mayor costo al adversario

    El objetivo de la ciberinteligencia táctica y operativa no es solo detectar actividad dañina, sino dificultar que el adversario pueda repetir sus operaciones con facilidad. Para ello, resulta útil aplicar el modelo de la Pirámide del Dolor, propuesto por David J. Bianco, que clasifica los indicadores según el esfuerzo que necesita un atacante para modificarlos cuando son detectados o bloqueados por los defensores.

    La idea central del modelo es sencilla, cuanto más arriba se sitúa un indicador en la pirámide, mayor es el coste que imponemos al adversario si somos capaces de detectarlo y neutralizarlo. Por ejemplo, bloquear un hash puede detener una muestra concreta de malware, pero detectar una técnica de movimiento lateral, en cambio, puede obligar al atacante a cambiar su forma de operar.

    1. Valores Hash (Dolor Trivial): En la base de la pirámide se encuentran los hashes, los cuales son fáciles de generar, compartir e integrar en herramientas de seguridad, pero también son los indicadores más sencillos de evadir. Ya que basta con modificar mínimamente un archivo o recompilar un binario para obtener un hash distinto. Por eso, aunque son útiles para contención rápida y respuesta ante amenazas conocidas, aportan poco valor estratégico si se usan de forma aislada.
    2. Direcciones IP y Dominios (Dolor Fácil/Moderado): Estos indicadores permiten identificar infraestructura utilizada en campañas dañinas, como servidores C2, dominios de phishing o nodos de distribución de malware. Su bloqueo puede ser efectivo a corto plazo, pero los actores de amenaza suelen rotar infraestructura con relativa facilidad, especialmente cuando utilizan servicios cloud, dominios desechables o sistemas previamente comprometidos.
    3. Artefactos de Red y Host (Dolor Molesto): Aquí hablamos de patrones más específicos como rutas de archivos, claves de registro, mutex, nombres de servicios, cadenas de User-Agent, patrones de comunicación, formatos de beaconing o estructuras concretas en logs. Estos elementos son más difíciles de modificar que una IP o un hash porque suelen estar vinculados al funcionamiento interno de una herramienta o a la forma en que el atacante ejecuta parte de su operación.
    4. Herramientas (Dolor intenso): Detectar y neutralizar un framework de post-explotación, un loader, un backdoor o una herramienta personalizada implica un coste mayor para el atacante. Ya no se trata solo de cambiar infraestructura, sino de adaptar, sustituir, recompilar, probar y volver a desplegar capacidades ofensivas sin perder eficacia ni sigilo.
    5. Tácticas, Técnicas y Procedimientos – TTPs (Dolor Máximo): Representan la forma de operar del adversario, cómo obtiene acceso inicial, cómo escala privilegios, cómo se mueve lateralmente, cómo persiste, cómo evade defensas y cómo exfiltra información. Detectar y mitigar TTPs genera el mayor impacto defensivo porque obliga al atacante a modificar su doctrina operativa, reentrenar operadores y rediseñar partes completas de su cadena de ataque. 

    Aplicar la Pirámide del Dolor en una estrategia CTI implica priorizar la detección conductual frente a la dependencia exclusiva de indicadores volátiles. Los IOCs de bajo nivel siguen siendo útiles para automatizar bloqueos y enriquecer eventos, pero el verdadero valor defensivo aparece cuando la inteligencia se traduce en reglas, hipótesis de hunting y controles orientados a técnicas de ataque.

    5. Recomendaciones prácticas

    Para evolucionar desde una defensa basada en indicadores aislados hacia un modelo centrado en el comportamiento del adversario, los equipos de ciberseguridad deben ajustar tanto sus procesos como sus criterios de priorización. No se trata de abandonar los IOCs, sino de integrarlos en una estrategia más amplia donde la inteligencia sirva para detectar, contextualizar y anticipar actividad maliciosa.

    • Automatizar los indicadores de bajo nivel y reservar el análisis humano para los TTPs: Los indicadores más volátiles, como hashes, direcciones IP, dominios o URLs, deben gestionarse con el mayor grado posible de automatización. El análisis humano debe concentrarse en aquello que aporta mayor valor, como la identificación de patrones, la correlación entre campañas, el perfilado de actores de amenaza y el análisis de Tácticas, Técnicas y Procedimientos (TTPs). El tiempo de los analistas no debería invertirse en revisar manualmente miles de indicadores de baja persistencia, sino en transformar señales dispersas en hipótesis defensivas accionables.
    • Definir Requisitos Prioritarios de Inteligencia (PIRs) alineados con el negocio: Los Requisitos Prioritarios de Inteligencia (PIRs) permiten orientar la recolección y el análisis hacia amenazas relevantes para la organización, evitando la dependencia de feeds genéricos que no siempre aportan valor operativo. Por eso, un PIR bien formulado debe estar vinculado al sector, la geografía, la superficie tecnológica y los procesos críticos del negocio. Ya que no es lo mismo proteger una entidad financiera con exposición a fraude digital que una organización industrial con entornos OT o una compañía tecnológica con riesgo elevado de robo de propiedad intelectual. Ejemplos de PIRs útiles podrían ser: qué actores están atacando a organizaciones de nuestro sector, qué técnicas están usando contra tecnologías que tenemos desplegadas, qué campañas activas afectan a nuestra región o qué vulnerabilidades están siendo explotadas de forma realista contra nuestro perfil de exposición.
    • Convertir la inteligencia en reglas de detección y hunting: La inteligencia solo aporta valor cuando se traduce en capacidad defensiva. Por eso, las conclusiones obtenidas durante el análisis CTI deben convertirse en reglas, consultas, playbooks o hipótesis de threat hunting. Este paso implica pasar de indicadores concretos a lógica conductual y en lugar de limitarse a bloquear un hash o una IP, el equipo debe crear detecciones capaces de identificar secuencias sospechosas. Como por ejemplo ejecución anómala de PowerShell, uso abusivo de WMI, creación inusual de procesos hijo, persistencia mediante tareas programadas, acceso anómalo a credenciales o transferencia de datos hacia destinos no habituales.
    • Medir la disrupción, no el volumen de indicadores: Una estrategia CTI madura no debe evaluarse por la cantidad de IOCs ingeridos, sino por su impacto real en la defensa, ya que procesar millones de indicadores no implica necesariamente detectar mejor, especialmente si esos datos carecen de contexto, caducan rápido o no están alineados con los riesgos de la organización. Por ello, las métricas deben centrarse en resultados operativos, como la reducción del tiempo de permanencia del atacante, la mejora del tiempo medio de detección, el aumento de detecciones basadas en comportamiento, el número de hipótesis de hunting validadas, la disminución del ruido en el SOC o la capacidad para anticipar campañas dirigidas. El objetivo final no es acumular inteligencia, sino utilizarla para tomar mejores decisiones defensivas. 

    6. Conclusión

    La ciberinteligencia de amenazas no debe limitarse a la recopilación masiva de indicadores, su valor real está en reducir la incertidumbre, aportar contexto y ayudar a los equipos de seguridad a tomar mejores decisiones defensivas. Y aunque los IOCs siguen siendo necesarios para detectar, contener y responder ante amenazas conocidas, su utilidad es limitada cuando se utilizan de forma aislada. Por ello, una estrategia CTI madura debe ir más allá de las evidencias estáticas y centrarse también en los comportamientos del adversario.

    En este punto, los IOAs, el ciclo de vida del indicador y la Pirámide del Dolor permiten construir una defensa más sólida. Los IOAs ayudan a identificar señales tempranas de actividad dañina, la gestión del ciclo de vida evita que el SOC trabaje con inteligencia desactualizada o de baja calidad y la Pirámide del Dolor orienta los esfuerzos hacia aquello que más impacto genera sobre el adversario: sus herramientas, técnicas y procedimientos.

    El objetivo no es sustituir unos indicadores por otros, sino utilizarlos de forma coherente dentro de una estrategia de detección, respuesta y hunting. Automatizar los indicadores de bajo nivel, contextualizar la inteligencia y traducir los TTPs en reglas que permitan reducir ruido, mejorar la priorización y aumentar el coste operativo del atacante. Por ello, una CTI eficaz no se mide por el volumen de datos procesados, sino por su capacidad para convertir información dispersa en decisiones defensivas accionables que protejan el negocio.