¿Qué es MITRE D3FEND?

D3FEND (Detection, Denial, and Disruption Framework Empowering Network Defense) es una base de conocimiento de contramedidas defensivas creada por MITRE. Mientras ATT&CK documenta cómo atacan los adversarios, D3FEND documenta cómo los defensores pueden detectar, prevenir y responder a esos ataques.

¿Cuántas técnicas defensivas tiene D3FEND?

D3FEND contiene más de 200 técnicas defensivas organizadas en 5 categorías principales: Harden (endurecer), Detect (detectar), Isolate (aislar), Deceive (engañar), y Evict (expulsar). Cada técnica se relaciona con las técnicas ATT&CK que contrarresta.

¿D3FEND reemplaza a NIST CSF o CIS Controls?

No. D3FEND es complementario. NIST CSF y CIS Controls son frameworks de gestión de alto nivel (qué hacer). D3FEND es técnico y específico (cómo hacerlo exactamente). D3FEND dice 'implementar Network Traffic Filtering', CIS dice 'controlar acceso de red'. Se pueden mapear entre sí.

¿Cómo se relaciona D3FEND con ATT&CK?

Cada técnica D3FEND se relaciona con una o más técnicas ATT&CK que contrarresta. El mapeo es bidireccional: dado un ataque ATT&CK puedes encontrar las defensas D3FEND, y dada una defensa D3FEND puedes ver qué ataques cubre. Esto permite gap analysis: qué ataques no tienen defensa mapeada.

IntermedioD3FENDMITREdefensaframeworksSOC

D3FEND Explicado: La Contraparte Defensiva de ATT&CK

Guía completa de MITRE D3FEND en español: qué es, cómo funciona, las 5 categorías defensivas (Harden, Detect, Isolate, Deceive, Evict), cómo usarlo con ATT&CK para mapear defensas a amenazas, y aplicación práctica en SOC.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 21

D3FEND completa ATT&CK respondiendo la pregunta "¿cómo nos defendemos de cada técnica de ataque?"

Si MITRE ATT&CK es el catálogo de ataques, D3FEND es el catálogo de defensas. Creado por MITRE con financiación de la NSA y publicado en 2021, D3FEND documenta contramedidas técnicas defensivas y las relaciona directamente con las técnicas ofensivas de ATT&CK. El resultado es un framework que permite mapear amenazas a defensas de forma sistemática.

Origen y motivación

ATT&CK revolucionó la ciberseguridad ofensiva al estandarizar las técnicas de ataque. Pero dejaba una pregunta sin responder: "Para cada técnica de ataque, ¿cuáles son las defensas técnicas específicas?" Los frameworks existentes (NIST CSF, CIS Controls, ISO 27001) responden a nivel de gestión, pero D3FEND responde a nivel técnico.

ATT&CK dice: "El adversario usa T1055.001 (DLL Injection)"
NIST CSF dice: "Implementar controles de protección de endpoints"
CIS dice: "Control 10: Defensa contra malware"
D3FEND dice: "D3-PSA (Process Self-Modification Analysis): monitorizar
  modificaciones en el espacio de memoria de procesos para detectar
  inyección de código no autorizada"

D3FEND es la capa que conecta la amenaza específica con la defensa específica.

Las 5 categorías de D3FEND

Modelo mental

Amenaza se acerca
        │
        ▼
  ┌─────────────┐
  │   HARDEN    │  Endurecer el sistema ANTES del ataque
  └──────┬──────┘
         │ (el ataque penetra)
         ▼
  ┌─────────────┐
  │   DETECT    │  Detectar la actividad maliciosa
  └──────┬──────┘
         │ (detectado)
         ▼
  ┌─────────────┐
  │   ISOLATE   │  Contener y aislar la amenaza
  └──────┬──────┘
         │ (contenido)
         ▼
  ┌─────────────┐
  │   DECEIVE   │  Engañar al adversario (deception)
  └──────┬──────┘
         │ (engañado/desgastado)
         ▼
  ┌─────────────┐
  │   EVICT     │  Expulsar al adversario del sistema
  └─────────────┘

1. HARDEN (Endurecer)

Reducir la superficie de ataque antes de que ocurra. Técnicas preventivas.

Sub-categoría	Ejemplos D3FEND	Contra ATT&CK
Application Hardening	D3-AH: deshabilitar macros, restringir PowerShell	T1059, T1566
Credential Hardening	D3-CH: MFA, Credential Guard, password policies	T1003, T1078
Message Hardening	D3-MH: email authentication (DMARC, DKIM, SPF)	T1566
Platform Hardening	D3-PH: Secure Boot, UEFI protections, patching	T1542, T1190
User Training	D3-UT: security awareness, phishing simulation	T1204, T1566

2. DETECT (Detectar)

Identificar actividad maliciosa en curso. El grueso de las técnicas D3FEND.

Sub-categoría	Ejemplos D3FEND	Contra ATT&CK
File Analysis	D3-FA: entropy analysis, YARA scanning, hash matching	T1027, T1204
Identifier Analysis	D3-IA: URL analysis, domain reputation, IP blacklisting	T1071, T1566
Message Analysis	D3-MA: email header analysis, attachment sandboxing	T1566
Network Traffic Analysis	D3-NTA: DPI, flow analysis, beacon detection	T1071, T1572
Platform Monitoring	D3-PM: process monitoring, registry monitoring, ETW	T1059, T1547, T1003
Process Analysis	D3-PA: memory analysis, injection detection, behavioral	T1055, T1014
User Behavior Analysis	D3-UBA: anomaly detection, baseline comparison	T1078, T1021

3. ISOLATE (Aislar)

Contener la amenaza detectada para impedir propagación.

Sub-categoría	Ejemplos D3FEND	Contra ATT&CK
Execution Isolation	D3-EI: sandboxing, containerization, micro-VM	T1059, T1204
Network Isolation	D3-NI: segmentación, VLAN, microsegmentación	T1021, T1570

4. DECEIVE (Engañar)

Usar deception para confundir, retrasar y detectar al adversario.

Sub-categoría	Ejemplos D3FEND	Contra ATT&CK
Decoy Environment	D3-DE: honeypots, honeynetworks	T1018, T1046
Decoy Object	D3-DO: honeyfiles, honeytokens, canary credentials	T1083, T1003
Decoy Persona	D3-DP: fake accounts, deceptive user profiles	T1087, T1589

5. EVICT (Expulsar)

Eliminar al adversario del sistema comprometido.

Sub-categoría	Ejemplos D3FEND	Contra ATT&CK
Credential Eviction	D3-CE: password reset, token revocation, certificate revocation	T1078, T1550
Process Eviction	D3-PE: process termination, service removal	T1543, T1053
File Eviction	D3-FE: file quarantine, malware removal	T1027, T1505

D3FEND vs otros frameworks defensivos

Framework	Nivel	Qué responde	Ejemplo
NIST CSF	Estratégico	Qué funciones de seguridad necesitas	"Protect: Access Control"
CIS Controls	Táctico	Qué controles implementar	"Control 10: Malware Defenses"
ISO 27001	Gestión	Qué políticas y procesos establecer	"A.12.2: Protection from malware"
D3FEND	Técnico	Qué tecnología/técnica exacta implementar	"D3-PSA: Process Self-Modification Analysis"
ATT&CK	Ofensivo	Cómo atacan los adversarios	"T1055.001: DLL Injection"

D3FEND es el más granular y técnico. Los otros frameworks dicen "protege contra malware", D3FEND dice exactamente cómo.

Navegando D3FEND

Sitio web: d3fend.mitre.org

La interfaz web permite:

Buscar por técnica defensiva (ej: "Process Monitoring")
Buscar por técnica ATT&CK (ej: T1055) → ver defensas relacionadas
Explorar por categoría (Harden/Detect/Isolate/Deceive/Evict)
Ver la ontología completa como grafo de conocimiento

Formato de cada técnica D3FEND

Cada técnica tiene:

Definición: qué hace la defensa
How it works: cómo funciona técnicamente
Considerations: limitaciones y consideraciones
Related ATT&CK techniques: qué ataques contrarresta
References: papers y fuentes académicas

Aplicación en el SOC

Flujo: de alerta a defensa

1. Alerta del SIEM: "PowerShell encoded command detected"
2. Mapeo ATT&CK: T1059.001 (PowerShell)
3. Consultar D3FEND: ¿qué defensas cubren T1059.001?
   → D3-SEA (Script Execution Analysis): AMSI, Script Block Logging
   → D3-PSA (Process Self-Modification Analysis): monitor cmd line
   → D3-AH (Application Hardening): Constrained Language Mode
4. Verificar: ¿tenemos estas defensas implementadas?
   → AMSI: sí ✓
   → Script Block Logging: sí ✓
   → Constrained Language Mode: no ✗ ← GAP
5. Acción: implementar Constrained Language Mode via GPO

Gap analysis con D3FEND

Para cada técnica ATT&CK relevante, verificar que al menos una defensa D3FEND está implementada:

T1003.001 LSASS dump:
  D3-CH: Credential Guard          → Implementado ✓
  D3-PM: Process Monitoring (LSASS) → Implementado ✓ (Sysmon Event 10)
  COBERTURA: BUENA

T1190 Exploit Public App:
  D3-PH: Patching                   → Parcial (SLA > 30 días) ✗
  D3-NTA: WAF                       → Implementado ✓
  D3-AH: Application Hardening      → No ✗
  COBERTURA: PARCIAL → priorizar patching SLA

Limitaciones de D3FEND

Menos maduro que ATT&CK: D3FEND es más joven (2021 vs 2015) y tiene menos cobertura
Nivel variable de detalle: algunas técnicas están bien documentadas, otras son superficiales
No incluye implementación: dice "hacer Process Monitoring" pero no dice "configurar Sysmon Event 10 con este filtro"
Actualizaciones menos frecuentes: ATT&CK se actualiza biannually, D3FEND con menor cadencia
Adopción menor: menos vendors y herramientas referencian D3FEND comparado con ATT&CK

Conclusión

D3FEND cierra el ciclo que ATT&CK abrió: de "así atacan" a "así nos defendemos". Es el framework más técnico y específico para mapear defensas a amenazas. Usado junto con ATT&CK, permite gap analysis preciso y priorización de inversiones defensivas basada en amenazas reales. Los siguientes artículos cubren la taxonomía de las 5 categorías y cómo usar D3FEND con ATT&CK juntos.

Fuentes y referencias

MITRE D3FEND: d3fend.mitre.org
MITRE: "D3FEND: A Knowledge Graph of Cybersecurity Countermeasures" (2021)
NSA: "D3FEND Cybersecurity Countermeasures" (partner announcement)
SANS: "Using D3FEND for Defense Mapping" (2023)