Guía técnica completa para profesionales
MITRE ATT&CK es el estándar de facto para describir el comportamiento de los adversarios. D3FEND es su complemento defensivo. Juntos forman el lenguaje universal que conecta a analistas SOC, threat hunters, equipos de red team y CISOs. Esta serie los cubre en profundidad, en español, con ejemplos prácticos y orientación defensiva.
Bloque A: MITRE ATT&CK (artículos 1-20)
Explicación completa del framework, recorrido por las 14 tácticas de la matriz Enterprise con técnicas, subtécnicas y ejemplos reales de malware. Incluye matrices Cloud, Mobile e ICS, uso avanzado del Navigator, y metodología de mapping.
Bloque B: MITRE D3FEND (artículos 21-27)
El framework defensivo: taxonomía completa (Harden, Detect, Isolate, Deceive, Evict), cómo usarlo con ATT&CK, casos prácticos de mapeo defensivo y comparación con otros frameworks (NIST CSF, CIS Controls).
Bloque C: Herramientas MITRE (artículos 28-31)
CALDERA (emulación de adversarios), ATT&CK Evaluations (cómo leer resultados de EDR), TRAM (mapeo automático de inteligencia) y ATT&CK Workbench (personalización).
La serie comienza en nivel intermedio y progresa hacia avanzado. Los artículos de fundamentos (1-2, 21-22) son accesibles para principiantes con conocimientos básicos de ciberseguridad. Los artículos de tácticas específicas y herramientas requieren experiencia en SOC, threat hunting o incident response.
Guía completa de MITRE ATT&CK en español: qué es, cómo funciona, estructura de tácticas-técnicas-procedimientos (TTPs), cómo usarlo en SOC, threat hunting e incident response, y por qué es el estándar global en ciberseguridad.
Recorrido completo por la matriz Enterprise de MITRE ATT&CK: las 14 tácticas, sus técnicas más relevantes, cómo se relacionan entre sí, y cómo leer e interpretar la matriz para defensa, detección y threat hunting.
Análisis completo de la táctica Initial Access de MITRE ATT&CK (TA0001): las 9 técnicas de acceso inicial, sub-técnicas, ejemplos reales de APTs y ransomware, indicadores de detección y contramedidas defensivas para cada vector de entrada.
Análisis completo de la táctica Persistence de MITRE ATT&CK (TA0003): 19 técnicas de persistencia que el malware usa para sobrevivir reinicios, actualizaciones y limpieza. Registry Run keys, scheduled tasks, servicios, WMI subscriptions, web shells, bootkits y más.
Análisis completo de la táctica Privilege Escalation de MITRE ATT&CK (TA0004): técnicas para obtener permisos SYSTEM, root o Domain Admin. UAC bypass, exploitation, token manipulation, sudo abuse, y detección de cada técnica.
Análisis completo de la táctica Defense Evasion de MITRE ATT&CK (TA0005): la táctica con más técnicas (~42). Process injection, ofuscación, LOLBins, rootkits, AMSI bypass, timestomping, indicator removal y cómo detectar cada categoría de evasión.
Análisis completo de la táctica Credential Access de MITRE ATT&CK (TA0006): técnicas de robo de credenciales. LSASS dump, Kerberoasting, LLMNR poisoning, keylogging, brute force, y detección de cada técnica para analistas SOC.
Análisis de la táctica Discovery de MITRE ATT&CK (TA0007): técnicas de reconocimiento interno que usan los atacantes para mapear la red, enumerar Active Directory, identificar sistemas y datos valiosos tras el compromiso inicial.
Análisis completo de la táctica Lateral Movement de MITRE ATT&CK (TA0008): técnicas de movimiento lateral en redes corporativas. PsExec, WMI, RDP, SMB, Pass-the-Hash, Pass-the-Ticket, y detección de cada técnica para SOC y threat hunting.
Análisis de la táctica Collection de MITRE ATT&CK (TA0009): técnicas que usan los atacantes para recopilar datos antes de exfiltrar. Acceso a shares de red, email harvesting, screen capture, clipboard data, staging y compresión.
Análisis completo de la táctica Command and Control de MITRE ATT&CK (TA0011): técnicas C2 que usan los atacantes para comunicarse con sistemas comprometidos. HTTPS beaconing, DNS tunneling, protocol tunneling, domain fronting, y detección de cada patrón.
Análisis de la táctica Exfiltration de MITRE ATT&CK (TA0010): técnicas de extracción de datos. Cloud storage, C2 channel, protocolos alternativos, scheduled transfer y detección de exfiltración en el SOC.
Análisis de la táctica Impact de MITRE ATT&CK (TA0040): técnicas destructivas y disruptivas. Ransomware (cifrado), wipers (destrucción), inhibición de recuperación, parada de servicios, manipulación de datos y defacement.
Guía práctica del ATT&CK Navigator: crear heatmaps de cobertura defensiva, comparar capas de amenazas, visualizar gaps, personalizar la matriz para tu organización, y exportar para informes y presentaciones.
Metodología paso a paso para mapear comportamiento de malware a técnicas MITRE ATT&CK. Desde el análisis de un sample hasta el informe mapeado, con errores comunes a evitar y herramientas de automatización.
Guía de MITRE ATT&CK para entornos cloud: técnicas específicas para AWS, Azure, GCP, Office 365, Google Workspace y SaaS. Initial Access via OAuth, Persistence con Lambda, Lateral Movement entre cuentas cloud, y detección con CloudTrail/Activity Log.
Guía de MITRE ATT&CK Mobile: técnicas de ataque en dispositivos Android e iOS. Spyware, banking trojans, phishing móvil, acceso a sensores, exfiltración de datos y detección en entornos móviles corporativos.
Guía de MITRE ATT&CK para ICS: la matriz de sistemas de control industrial. 12 tácticas específicas para OT, técnicas como Inhibit Response Function y Impair Process Control, malware ICS real (Stuxnet, Industroyer, Triton), y defensa de infraestructura crítica.
Cómo usar MITRE ATT&CK para investigar grupos APT: navegar perfiles de actores, analizar sus TTPs, crear layers en Navigator, y usar threat intelligence para priorizar defensas contra actores relevantes para tu sector.
Guía completa de MITRE D3FEND en español: qué es, cómo funciona, las 5 categorías defensivas (Harden, Detect, Isolate, Deceive, Evict), cómo usarlo con ATT&CK para mapear defensas a amenazas, y aplicación práctica en SOC.
Desglose técnico de las 5 categorías de MITRE D3FEND con todas las sub-categorías y técnicas defensivas principales. Harden (prevención), Detect (detección), Isolate (contención), Deceive (deception), Evict (expulsión).
Guía práctica de D3FEND para equipos SOC: cómo mapear las defensas implementadas a las amenazas ATT&CK relevantes, identificar gaps, y priorizar inversiones en detección y prevención.
Guía práctica para usar MITRE ATT&CK y D3FEND juntos: mapeo bidireccional ataque-defensa, gap analysis, priorización de inversiones, y flujo operativo para equipos SOC, CTI y CISO.
Caso práctico completo de mapeo D3FEND para defensa contra ransomware: cada fase de la cadena de ataque (acceso inicial a cifrado) mapeada a defensas técnicas D3FEND con implementación concreta, coste y prioridad.
Cómo usar MITRE D3FEND para justificar inversiones en ciberseguridad ante la dirección: cuantificar gaps defensivos, calcular cobertura por amenaza, y presentar ROI de nuevas herramientas basado en técnicas ATT&CK cubiertas.
Comparativa práctica de los tres frameworks defensivos más usados: MITRE D3FEND (técnico), NIST CSF 2.0 (estratégico), y CIS Controls v8 (táctico). Cuándo usar cada uno, cómo combinarlos, y mapeo entre frameworks.
Guía completa de MITRE CALDERA: plataforma de emulación de adversarios automatizada. Instalación, creación de adversary profiles, ejecución de operaciones, plugins, integración con ATT&CK, y uso para validar detecciones del SOC.
Guía para interpretar los resultados de MITRE Engenuity ATT&CK Evaluations: cómo leer las tablas de detección, qué significan las categorías (Telemetry, General, Tactic, Technique), y cómo comparar EDRs objetivamente.
Guía de MITRE TRAM (Threat Report ATT&CK Mapper): herramienta que usa NLP para extraer automáticamente técnicas ATT&CK de informes de threat intelligence en texto natural. Setup, uso práctico y limitaciones.
Guía de ATT&CK Workbench: cómo desplegar tu propia instancia de ATT&CK, añadir técnicas custom, crear grupos internos, y mantener una base de conocimiento ATT&CK personalizada para tu organización.
Guía de MITRE Attack Flow: herramienta para visualizar y documentar secuencias de técnicas ATT&CK como diagramas de flujo. Cómo crear Attack Flows para informes de incidentes, threat intelligence y ejercicios de red team.
Guía de CISA Decider: herramienta interactiva que guía a analistas paso a paso para mapear comportamiento adversario a técnicas ATT&CK mediante preguntas de decisión. Ideal para analistas con menos experiencia en ATT&CK.
Guía del proyecto Top ATT&CK Techniques del Center for Threat-Informed Defense: cómo identificar las técnicas más usadas por adversarios reales y priorizar detecciones basándose en datos, no en intuición.
Guía de MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems): framework que documenta ataques a sistemas ML/AI. Model poisoning, prompt injection, evasion, model theft, data poisoning y defensas.
Guía de MITRE ENGAGE: framework de defensa activa basado en deception (engaño) y denial (denegación). Honeypots, honeytokens, deception technology, adversary engagement, y cómo integrar ENGAGE con ATT&CK y D3FEND.
Guía práctica para proteger sistemas ML/AI en producción usando MITRE ATLAS: defensa contra prompt injection, adversarial evasion, model theft y data poisoning. Checklist de seguridad AI para SOC y DevSecOps.
Panorama de herramientas MITRE para automatización de CTI: Carcará (threat intel automation), ATT&CK Data Sources, Sightings Ecosystem, y cómo el ecosistema MITRE se integra para threat intelligence operacional.
Comparativa completa de todos los frameworks MITRE: ATT&CK Enterprise, Mobile, ICS, D3FEND, ATLAS, ENGAGE, y herramientas asociadas. Cuándo usar cada uno, cómo se relacionan, y guía de adopción por rol y madurez.