Artículos sobre: Amenazas

Cómo interpretar First Seen, Last Seen y Occurrences

Cómo interpretar First Seen, Last Seen y Occurrences


En Selki, cada Threat incluye tres indicadores clave que ayudan a comprender la recencia, frecuencia y persistencia de una exposición:


  • First Seen
  • Last Seen
  • Occurrences


Estos elementos son fundamentales para investigar amenazas, priorizar remediación y detectar patrones de riesgo.



1. ¿Qué es First Seen?


First Seen es la primera vez que Selki detectó la exposición de esa identidad en alguna fuente comprometida.


Qué indica:

  • el punto inicial del compromiso
  • la antigüedad mínima de la exposición
  • si la amenaza es reciente o antigua


Interpretación rápida:

  • Fecha reciente → riesgo potencialmente activo
  • Fecha antigua → exposición histórica, pero aún relevante



2. ¿Qué es Last Seen?


Last Seen es la fecha más reciente en la que Selki volvió a encontrar la misma identidad expuesta en cualquier fuente.


Qué indica:

  • actividad continua o repetida
  • aparición en nuevas fuentes
  • persistencia del compromiso
  • infección activa (en casos de infostealer)


Interpretación rápida:

  • Last Seen reciente → la amenaza está activa
  • Last Seen igual a First Seen → exposición puntual
  • Last Seen posterior al cierre de la Threat → debe reabrirse



3. ¿Qué son las Occurrences?


Occurrences representa la cantidad de veces que la identidad apareció en distintas fuentes de datos.


No significa necesariamente múltiples infecciones, pero sí múltiples exposiciones.


Qué indica:

  • frecuencia del compromiso
  • reutilización de contraseña
  • infección persistente del usuario
  • mayor probabilidad de explotación


Interpretación rápida:

  • 1 ocurrencia → exposición única
  • 2–5 ocurrencias → reutilización probable
  • más de 5 → compromiso recurrente o múltiples infecciones



4. Cómo se relacionan entre sí


Estos tres elementos juntos cuentan la “historia” de la exposición.


Ejemplos:


Caso A:

  • First Seen: 2 años
  • Last Seen: 2 años
  • Occurrences: 1


➡ Exposición histórica, poco probable que sea un riesgo activo.



Caso B:

  • First Seen: 18 días
  • Last Seen: 2 días
  • Occurrences: 4


➡ Exposición recurrente. Alto riesgo. Requiere acción inmediata.



Caso C:

  • First Seen: hoy
  • Last Seen: hoy
  • Occurrences: 1
  • Tipo: Infostealer
  • Hostname presente


➡ Compromiso crítico. Dispositivo infectado. Remediación urgente.



5. Detección de patrones comunes


1) Reutilización de contraseña

Cuando vemos múltiples Occurrences en distintas fuentes.


2) Dispositivos infectados múltiples veces

Cuando varios hostnames aparecen asociados al mismo usuario.


3) Exposiciones repetidas después de remediación

Last Seen posterior al cierre → la Threat debe reabrirse.


4) Exposición masiva de clientes

Múltiples identities con First Seen reciente → foco de fraude.



6. Cómo usar estos datos en la investigación


Use First Seen para:

  • evaluar si la exposición es histórica o reciente
  • entender la línea de tiempo


Use Last Seen para:

  • determinar si el usuario sigue comprometido
  • decidir si reabrir la Threat


Use Occurrences para:

  • identificar hábitos inseguros
  • medir recurrencia
  • escalar casos a otros equipos (TI, fraude, soporte)



7. Buenas prácticas


  • prestar atención especial a Last Seen reciente
  • investigar cualquier amenaza con Occurrences > 1
  • comparar First y Last Seen con acciones de remediación previas
  • incluir estos datos en reportes y auditorías



Resumen


  • First Seen → cuándo apareció por primera vez.
  • Last Seen → cuándo apareció más recientemente.
  • Occurrences → cuántas veces ha aparecido.


Estos tres indicadores ayudan a entender la profundidad y urgencia de cada Threat, permitiendo tomar decisiones más precisas y proactivas.


Actualizado el: 02/12/2025

¿Este artículo te resultó útil?

Comparte tu opinión

Cancelar

¡Gracias!