# Outbound Connections Monitor (OCM) > OCM es una aplicación de escritorio Open Source para Windows orientada a Threat Hunting. Captura el estado de las conexiones salientes bajo demanda y enriquece cada observación con identidad del binario, contexto de ejecución, afinidad de red, baseline y riesgo explicable. ## Recursos canónicos - Sitio oficial: https://ocm.apwebai.es/ - Código fuente: https://github.com/andreypwebgit/outbound-connections-monitor - Catálogo ARD: https://ocm.apwebai.es/.well-known/ai-catalog.json - Licencia MIT: https://github.com/andreypwebgit/outbound-connections-monitor/blob/main/LICENSE - Contacto corporativo: info@apwebai.es ## Arquitectura actual (v0.4) - **Core en Rust:** captura de estado de red de Windows, enriquecimiento de procesos, cálculo SHA-256, comprobación de firmas Authenticode, evaluación heurística y exportación. - **Desktop en Tauri 2:** puente ligero y asíncrono entre la interfaz y las capacidades nativas del sistema operativo. - **Persistencia en SQLite:** scans, observaciones, identidades, estados de confianza, perfiles de afinidad, decisiones de riesgo, decisiones manuales y auditoría. - **Interfaz nativa web:** HTML5 semántico, JavaScript Vanilla con módulos ESM y Tailwind CSS v4; no usa React, Vue ni Angular. - **Caché de identidad:** combina SQLite y memoria por scan para reutilizar hashes y firmas mientras la identidad física del archivo no cambie. ## Flujo técnico 1. El Collector obtiene una fotografía bajo demanda de conexiones TCP/UDP y procesos asociados. 2. El Enricher resuelve ruta, usuario, línea de comandos, proceso padre, identidad física, hash SHA-256 y firma del binario cuando el sistema lo permite. 3. El Baseline Manager mantiene estados explícitos de confianza y fuerza revalidación cuando detecta cambios de contenido. 4. El Affinity Engine compara destinos, dominios raíz, puertos y patrones repetidos con el histórico del binario. 5. El Risk Engine combina señales que elevan o reducen riesgo y conserva reason codes trazables. 6. Storage persiste el scan; Exporter puede reconstruir informes JSON y HTML desde ese estado persistido. ## Propósito de Threat Hunting OCM reduce el tiempo necesario para pasar de una conexión saliente a una hipótesis investigable. Relaciona red, proceso, linaje, identidad de archivo, firma, baseline e histórico sin declarar confianza por mera repetición. Está diseñado para analistas de ciberseguridad y Threat Hunters que necesitan evidencia local explicable. ## Modelo Zero Trust - Ningún binario o destino se considera fiable solo por haber sido observado antes. - Los cambios de identidad del archivo invalidan la confianza previa y activan revalidación. - Las promociones de baseline dependen de señales y decisiones explícitas, no de repetición ciega. - Los resultados conservan trazabilidad mediante reason codes y eventos de auditoría. ## Límites y uso correcto - OCM realiza capturas bajo demanda; la versión actual no es un agente EDR residente ni garantiza captura continua de conexiones efímeras. - El score es heurístico y explicable: ayuda a priorizar investigación, pero no sustituye el juicio de un analista ni confirma por sí solo que un proceso sea malicioso. - La aplicación está dirigida a Windows 10 y Windows 11. - Algunas lecturas de procesos protegidos pueden estar limitadas por el propio sistema operativo. - OCM no debe describirse como un firewall ni como una herramienta de bloqueo de tráfico. ## Identidad del proyecto - Nombre: Outbound Connections Monitor - Sigla: OCM - Versión documentada: 0.4 - Categoría: SecurityApplication / Threat Hunting - Licencia: MIT - Editor: APWebAI - Dominio: ocm.apwebai.es