Indicador de Ataque (IoA)
¿Qué es Indicador de Ataque (IoA)?
Indicador de Ataque (IoA)Evidencia conductual de que un atacante está intentando una intrusión en curso, centrada en la intención y la técnica, no en artefactos posteriores.
Un Indicador de Ataque describe el comportamiento del adversario en tiempo real: ejecución de código, intentos de persistencia, escalado de privilegios, volcado de credenciales, movimiento lateral, exfiltración. A diferencia de los IoCs, atómicos y fáciles de rotar, los IoAs están ligados a técnicas y son más difíciles de eludir porque cambiarlos exige modificar el modus operandi. Los IoAs encajan en las técnicas de MITRE ATT&CK y son la base de la detección conductual en EDR, XDR y los SIEM modernos. Un buen IoA captura el porqué y el cómo de una acción —por ejemplo, un proceso de Office que lanza PowerShell para descargar desde un dominio externo— y desencadena respuesta antes del daño.
● Ejemplos
- 01
IoA que dispara cuando winword.exe lanza powershell.exe con una línea de comando codificada.
- 02
IoA de robo de credenciales: acceso a la memoria de LSASS por un proceso no firmado.
● Preguntas frecuentes
¿Qué es Indicador de Ataque (IoA)?
Evidencia conductual de que un atacante está intentando una intrusión en curso, centrada en la intención y la técnica, no en artefactos posteriores. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Indicador de Ataque (IoA)?
Evidencia conductual de que un atacante está intentando una intrusión en curso, centrada en la intención y la técnica, no en artefactos posteriores.
¿Cómo defenderse de Indicador de Ataque (IoA)?
Las defensas contra Indicador de Ataque (IoA) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Indicador de Ataque (IoA)?
Nombres alternativos comunes: IoA, Indicador conductual.