La perspectiva de Cyber Academy
MITRE ATT&CK es la base de conocimiento abierta de tácticas, técnicas y procedimientos (TTPs) de atacantes observados en entornos reales. Vocabulario estándar para la defensa basada en inteligencia de amenazas: reglas de detección, escenarios de red team, formación de analistas SOC. Se actualiza de forma continua y es de uso gratuito. Si las reglas de su SIEM no referencian los identificadores de técnicas de ATT&CK, está trabajando más de lo necesario.
Un lenguaje común para describir cómo se comportan los atacantes
MITRE ATT&CK reorienta la inteligencia de amenazas en torno al comportamiento en lugar de los indicadores. En vez de catalogar las direcciones IP o los hashes de archivos vistos en una sola campaña, que cambian constantemente, cataloga lo que los adversarios realmente hacen una vez dentro de un entorno: cómo obtienen el acceso inicial, escalan privilegios, se mueven lateralmente, evaden las defensas y exfiltran datos. Cada uno de esos comportamientos se captura como una técnica con un identificador estable, y las técnicas se agrupan bajo tácticas que describen el objetivo del atacante en cada paso. El resultado es un mapa estructurado y basado en evidencia del manual de jugadas adversario, extraído de intrusiones reales observadas en lugar de la teoría.
El marco está organizado como una matriz. Las columnas son las tácticas, el porqué detrás de un paso, y las celdas debajo de cada columna son las técnicas y subtécnicas, el cómo. Matrices separadas cubren los entornos Enterprise, móviles y los sistemas de control industrial, porque el comportamiento del adversario difiere según esos terrenos. Como los identificadores de técnicas son estables y públicos, se convierten en una referencia común que un analista de inteligencia de amenazas, un ingeniero de SOC que escribe detecciones y un miembro de un red team que planifica un ejercicio pueden citar todos sin ambigüedad. Ese vocabulario compartido es el superpoder silencioso de ATT&CK: permite que equipos que nunca se hablan describan el mismo ataque de la misma manera.
Tácticas, técnicas y procedimientos
El modelo TTP está en el corazón de ATT&CK y conviene mantener los tres niveles diferenciados. Las tácticas son los objetivos del adversario, las metas amplias como conseguir un punto de apoyo o mantener la persistencia. Las técnicas son los métodos generales usados para lograr una táctica, y muchas técnicas se desglosan a su vez en subtécnicas que describen una variante más específica. Los procedimientos son las implementaciones concretas, en el mundo real, que un grupo particular usó para llevar a cabo una técnica. Subir por esa escalera, del procedimiento a la técnica y a la táctica, es lo que convierte un montón de artefactos de incidente en un patrón frente al cual puedes defenderte.
| Capa | Pregunta que responde | Sentido ilustrado |
|---|---|---|
| Táctica | ¿Por qué el adversario hace esto? | El objetivo de un paso, como la persistencia o el movimiento lateral |
| Técnica | ¿Cómo, en general, lo logran? | Un método con nombre y un identificador ATT&CK estable, a veces dividido en subtécnicas |
| Procedimiento | ¿Cómo lo hizo exactamente este grupo? | La implementación específica observada en una intrusión real |
La razón por la que los profesionales valoran esta estructura es que las defensas construidas a nivel de técnica sobreviven más tiempo que las defensas basadas en indicadores. Un atacante puede cambiar un dominio malicioso o recompilar una carga útil en minutos, derrotando el bloqueo basado en firmas, pero cambiar la técnica subyacente exige más esfuerzo y a menudo más habilidad. Las detecciones ancladas a técnicas envejecen por tanto más despacio y atrapan variantes que la primera firma nunca vio.
Cómo los equipos ponen ATT&CK a trabajar
La defensa informada por amenazas es la práctica que ATT&CK habilita, y se manifiesta en toda la función de seguridad. Los equipos de SOC etiquetan las reglas de detección con identificadores de técnicas para ver, de un vistazo, qué comportamientos adversarios pueden detectar y cuáles se les escapan. Ese análisis de brechas, a menudo visualizado como un mapa de calor sobre la matriz, dirige hacia dónde va el siguiente esfuerzo de detección.
Los red teams y los purple teams usan la matriz para diseñar y puntuar ejercicios, recorriendo técnicas deliberadamente para comprobar si el blue team las nota. Los equipos de inteligencia de amenazas describen los grupos adversarios en términos de ATT&CK para que los informes sean comparables en lugar de prosa a medida. Y los programas de formación se apoyan en él porque ofrece a los analistas un modelo único y bien documentado del comportamiento de los atacantes para aprender, en lugar de mil relatos de guerra inconexos.
ATT&CK se publica abiertamente, es gratuito de usar y se actualiza de forma continua a medida que se observa nuevo comportamiento adversario, motivo por el cual se ha convertido en la referencia de facto en lugar de un marco de un fabricante entre muchos. Se combina de forma natural con los catálogos de controles y los sistemas de gestión: donde ISO/IEC 27001, el NIST Cybersecurity Framework o los CIS Controls te dicen qué capacidades de protección y detección construir, ATT&CK te dice qué comportamientos adversarios deben abordar esas capacidades, y cada vez se usa más para priorizar y validar ese trabajo.
Frequently asked questions
01¿Cuál es la diferencia entre tácticas y técnicas en ATT&CK?
Una táctica es el objetivo del adversario en un paso, el porqué, como la persistencia o la exfiltración. Una técnica es un método general usado para alcanzar ese objetivo, el cómo, y muchas técnicas se dividen en subtécnicas más específicas. Los procedimientos son la forma concreta en que un grupo particular implementó una técnica en una intrusión real.
02¿Es MITRE ATT&CK gratuito de usar?
Sí. ATT&CK es una base de conocimiento publicada abiertamente, mantenida por MITRE, gratuita de usar y actualizada de forma continua a medida que se observa nuevo comportamiento adversario en el mundo real.
03¿En qué se diferencia ATT&CK de la cyber kill chain?
La kill chain describe las fases de alto nivel de una intrusión en una secuencia lineal. ATT&CK es mucho más granular: cataloga técnicas y subtécnicas específicas bajo cada táctica, extraídas del comportamiento real observado, por lo que se usa para la ingeniería de detección detallada y el mapeo de cobertura en lugar de como un simple modelo de etapas.
04¿Cómo usa realmente un SOC ATT&CK?
Los equipos de SOC etiquetan las reglas de detección con identificadores de técnicas para mapear su cobertura a lo largo de la matriz, exponiendo qué comportamientos adversarios pueden detectar y cuáles son puntos ciegos. Ese análisis de brechas dirige luego dónde se invierte en nuevas detecciones, fuentes de registros y esfuerzo de ajuste.
05¿Sustituye ATT&CK a marcos como ISO 27001 o NIST?
No, los complementa. Los marcos de controles te dicen qué capacidades de protección y detección construir, mientras que ATT&CK describe los comportamientos adversarios que esas capacidades deben abordar. Los equipos lo usan para priorizar y validar los controles que un marco exige.