ATT&CK se estructura en tácticas (objetivos del atacante: Initial Access, Execution, Persistence, etc.), técnicas (cómo se logra cada objetivo) y sub-técnicas (variantes concretas). La matriz Enterprise cubre Windows, Linux, macOS, cloud, contenedores e identidad. Hay matrices separadas para móvil e ICS.
Qué es MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento mantenida por la fundación MITRE Corporation que cataloga las tácticas, técnicas y procedimientos (TTP) reales utilizados por actores de amenazas observados en la naturaleza. Cada técnica está documentada con descripción, ejemplos de uso por grupos APT conocidos, recomendaciones de detección y referencias a casos públicos. Es el marco de referencia mundial de facto para describir, comparar y comunicar comportamiento ofensivo entre defensores.
Por qué importa
Antes de MITRE ATT&CK, cada equipo de seguridad describía las amenazas con su propio vocabulario, lo que dificultaba comparar capacidades defensivas, intercambiar inteligencia con otras organizaciones o medir cobertura real frente a campañas ofensivas. ATT&CK unifica el lenguaje: cuando un informe menciona la técnica T1078 (Valid Accounts) o T1566 (Phishing), cualquier analista en cualquier organización del mundo entiende exactamente a qué se refiere. Para un SOC, el framework permite mapear sus reglas de detección contra técnicas concretas y ver dónde hay puntos ciegos. Para un equipo red team o de threat hunting, sirve para planificar ejercicios con cobertura medible. Para dirección, es la forma de demostrar madurez defensiva ante consejo o regulador con datos comparables.
Puntos clave
Cada técnica incluye campos de "Detection" con consejos de qué telemetría buscar. Combinar ATT&CK con SIEM/EDR/XDR permite mapear cobertura: qué técnicas detectas hoy, cuáles no, y qué telemetría te falta.
Iniciativas como ATT&CK Navigator, MITRE D3FEND (defensa) y MITRE Engage (engagement/deception) complementan ATT&CK con vistas visuales y contramedidas. Son gratuitas y públicas.
ATT&CK es la base de evaluaciones independientes como MITRE Engenuity ATT&CK Evaluations, donde se prueba la capacidad de detección de productos EDR/XDR/MDR frente a TTP de grupos reales (APT29, Carbanak, Wizard Spider, etc.). Es referencia obligada al comparar fabricantes.
Ejemplo: mapear cobertura del SOC contra ATT&CK
Un equipo de SOC quiere saber qué tan bien detecta técnicas habituales de ransomware. Selecciona del Navigator las técnicas más usadas por grupos como Conti, LockBit y BlackBasta: T1486 (Data Encrypted for Impact), T1490 (Inhibit System Recovery), T1083 (File and Directory Discovery), T1059.001 (PowerShell). Para cada una, marca en su SIEM si hay reglas activas, cuántas alertas generaron en el último trimestre, cuáles fueron falsos positivos. El mapa visual muestra zonas verdes (cobertura buena) y rojas (puntos ciegos). En Persistence y Defense Evasion encuentra brechas claras. Esa visualización entra al informe del comité de seguridad con un plan de mejora medible — algo que sin un marco común sería difícil de comunicar.
Errores habituales
- Usar ATT&CK solo como checklist sin contexto. Tener una regla por técnica no garantiza detección real: la calidad de la regla, la telemetría disponible y la atención del SOC son lo que cuenta.
- Mapear contra todas las técnicas por igual. Hay que priorizar por relevancia: qué TTP usan los grupos que atacan a tu sector, no abarcar las 600+ técnicas en abstracto.
- Confundir ATT&CK con Cyber Kill Chain. Kill Chain (Lockheed Martin) describe fases macro de un ataque. ATT&CK describe técnicas concretas dentro de cada fase. Son complementarios; ATT&CK es más granular y vivo.
- Ignorar las actualizaciones. ATT&CK se actualiza dos veces al año con nuevas técnicas observadas en la naturaleza. Una cobertura medida en 2023 puede tener puntos ciegos importantes en 2026.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre MITRE ATT&CK y Cyber Kill Chain?
La Cyber Kill Chain de Lockheed Martin es un modelo de alto nivel con siete fases (reconocimiento, armado, entrega, explotación, instalación, C2, acción). MITRE ATT&CK es mucho más granular: describe cientos de técnicas concretas usadas en cada fase, con ejemplos reales y telemetría defensiva. Suelen usarse juntos.
¿Es MITRE ATT&CK gratis y de acceso público?
Sí, ATT&CK es de uso público y gratuito, incluyendo el Navigator, las matrices, las técnicas con detección y la documentación de grupos. MITRE Engenuity ATT&CK Evaluations son evaluaciones específicas de fabricantes y tienen modelo propio.
¿Para quién es útil ATT&CK en una organización?
Para SOC (mapear cobertura), threat hunting (priorizar hipótesis), red team (planificar ejercicios realistas), CISO (comunicar madurez con datos), comprador de tecnología (comparar fabricantes con criterios comunes) y consultoras (estandarizar informes).