¿Cuál de las 5 categorías D3FEND es más importante?

Detect es la más extensa y la que más valor aporta operativamente. Harden es la más coste-efectiva (prevenir es más barato que detectar). Isolate es la más crítica durante un incidente activo. La respuesta depende de tu madurez: organizaciones inmaduras priorizan Harden, maduras equilibran las 5.

¿Deceive (deception) es viable para organizaciones pequeñas?

Sí, a nivel básico. Canary tokens (gratuitos via canarytokens.org) y honeyfiles en shares de red son deception de bajo coste y alta efectividad. No necesitas una plataforma de deception enterprise para empezar.

IntermedioD3FENDtaxonomíadefensaframeworks

Taxonomía D3FEND: Harden, Detect, Isolate, Deceive, Evict

Desglose técnico de las 5 categorías de MITRE D3FEND con todas las sub-categorías y técnicas defensivas principales. Harden (prevención), Detect (detección), Isolate (contención), Deceive (deception), Evict (expulsión).

MalwareIntel Research·27 de mayo de 2026·8 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 22

Las 5 categorías de D3FEND cubren el ciclo completo de defensa: prevenir, detectar, contener, engañar y expulsar

D3FEND organiza más de 200 técnicas defensivas en 5 categorías que representan las fases de la respuesta defensiva. Cada categoría se subdivide en sub-categorías con técnicas específicas. Este artículo detalla la taxonomía completa con las técnicas más relevantes de cada categoría.

HARDEN: Endurecer antes del ataque

Reducir la superficie de ataque y la probabilidad de éxito del adversario.

Application Hardening (D3-AH)

Técnica	Qué hace	Ejemplo práctico
Application Configuration Hardening	Configurar apps de forma segura	Deshabilitar macros en Office, restringir PowerShell a CLM
Dead Code Elimination	Eliminar código no utilizado	Desinstalar features innecesarias de Windows
Exception Handler Validation	Proteger handlers de excepciones	SafeSEH, SEHOP en compilación
Process Segment Execution Prevention	DEP/NX bit	Data Execution Prevention habilitado
Segment Address Offset Randomization	ASLR	Address Space Layout Randomization
Stack Frame Canary Validation	Stack cookies	/GS en compilador MSVC

Credential Hardening (D3-CH)

Técnica	Qué hace	Contra ATT&CK
Multi-factor Authentication	Requiere 2+ factores	T1078, T1110
One-time Password	Contraseñas de un solo uso	T1078, T1110
Strong Password Policy	Longitud y complejidad mínima	T1110, T1558
Credential Rotation	Cambiar credenciales periódicamente	T1003, T1078
Certificate-Based Authentication	Auth por certificado, no password	T1078, T1557
Hardware-backed Credential Store	TPM, HSM para proteger credenciales	T1003, T1552

Message Hardening (D3-MH)

Técnica	Qué hace	Contra ATT&CK
Transfer Agent Authentication	DMARC, DKIM, SPF	T1566
Message Authentication	Firmas digitales en mensajes	T1566, T1557
Message Encryption	Cifrado end-to-end	T1557, T1040

Platform Hardening (D3-PH)

Técnica	Qué hace	Contra ATT&CK
Boot Firmware Verification	Secure Boot, Measured Boot	T1542
Disk Encryption	BitLocker, LUKS	T1005, T1025
File Encryption	Cifrado de archivos sensibles	T1005, T1039
Software Update	Patching de vulnerabilidades	T1190, T1068
System Configuration Permissions	Restringir quién modifica config	T1543, T1547
TPM Boot Integrity	Verificación de integridad vía TPM	T1542

DETECT: Detectar actividad maliciosa

La categoría más extensa. Identificar al adversario en acción.

File Analysis (D3-FA)

Técnica	Qué hace	Herramientas
Dynamic Analysis	Detonar archivos en sandbox	ANY.RUN, CAPE, Joe Sandbox
Emulated File Analysis	Emular ejecución sin detonar	CAPA, Qiling
File Content Rules	Matching por contenido (YARA)	YARA, ClamAV
File Hashing	Comparar hash con listas conocidas	VirusTotal, MalwareBazaar
File Entropy Analysis	Detectar packing/cifrado por entropy	PE-bear, DIE

Network Traffic Analysis (D3-NTA)

Técnica	Qué hace	Herramientas
Connection Attempt Analysis	Detectar conexiones fallidas masivas	Firewall logs, IDS
DNS Traffic Analysis	Detectar DNS tunneling, DGA	Zeek, PassiveDNS
File Carving	Extraer archivos del tráfico de red	NetworkMiner, Wireshark
IPC Traffic Analysis	Monitorizar comunicación inter-proceso en red	Zeek
Network Traffic Filtering	DPI, proxy con inspección	Squid, Zscaler
Protocol Metadata Anomaly Detection	Detectar protocolos anómalos	Zeek, Suricata
Remote Terminal Session Detection	Detectar sesiones remotas anómalas	NDR, Zeek
Certificate Analysis	Verificar certificados TLS	JA3, certificate transparency
Relay Pattern Analysis	Detectar beaconing (intervalos regulares)	RITA, Zeek

Platform Monitoring (D3-PM)

Técnica	Qué hace	Herramientas
Firmware Verification	Verificar integridad firmware	CHIPSEC
Operating System Monitoring	Monitorizar eventos del SO	Sysmon, auditd, osquery
Service Binary Verification	Verificar binarios de servicios	Sigcheck, file integrity
System Init Config Analysis	Monitorizar puntos de persistencia	Autoruns, osquery

Process Analysis (D3-PA)

Técnica	Qué hace	Herramientas
Database Query String Analysis	Detectar SQL injection	WAF, RASP
File Access Pattern Analysis	Patrones anómalos de acceso	EDR, DLP
Process Code Segment Verification	Detectar injection en memoria	EDR, Volatility
Process Self-Modification Analysis	Detectar unpacking/decryption	EDR, sandbox
Process Spawn Analysis	Parent-child anómalos	Sysmon Event 1, EDR
Script Execution Analysis	Analizar scripts antes de ejecutar	AMSI, Script Block Logging
System Call Analysis	Monitorizar syscalls anómalos	ETW, EDR, Sysmon

User Behavior Analysis (D3-UBA)

Técnica	Qué hace	Herramientas
Authentication Event Thresholding	Alertar sobre auth masivas	SIEM (Event 4625/4624)
Authorization Event Thresholding	Alertar sobre accesos masivos	SIEM, CASB
Job Function Access Pattern Analysis	Baseline por rol de usuario	UEBA
Session Duration Analysis	Detectar sesiones anómalamente largas	SIEM, NDR
User Data Transfer Analysis	Detectar exfiltración por volumen	DLP, CASB
Web Session Activity Analysis	Monitorizar actividad web	Proxy, CASB
Credential Compromise Scope Analysis	Evaluar alcance de credenciales robadas	AD monitoring, SIEM
Domain Account Monitoring	Monitorizar cambios en cuentas AD	Event 4720/4722/4728/4732

ISOLATE: Contener la amenaza

Execution Isolation (D3-EI)

Técnica	Qué hace	Herramientas
Executable Allowlisting	Solo ejecutar binarios autorizados	AppLocker, WDAC
Executable Denylisting	Bloquear binarios conocidos maliciosos	AV, EDR
Hardware-based Process Isolation	Aislamiento por hardware (enclaves)	Intel SGX, ARM TrustZone
IO Port Restriction	Restringir acceso a puertos I/O	Device control policies

Network Isolation (D3-NI)

Técnica	Qué hace	Herramientas
Broadcast Domain Isolation	VLANs para segmentar broadcast	Switches managed
DNS Allowlisting	Solo resolver dominios autorizados	DNS firewall
DNS Denylisting	Bloquear dominios maliciosos conocidos	Pi-hole, DNS firewall
Forward Resolution Domain Denylisting	Bloquear resolución de dominios C2	DNS sinkhole
Encrypted Tunnels	Cifrar tráfico entre segmentos	VPN, IPsec, WireGuard
Network Traffic Filtering	Firewall, ACLs	iptables, pf, firewalls enterprise

DECEIVE: Engañar al adversario

Decoy Environment (D3-DE)

Técnica	Qué hace	Herramientas
Connected Honeynet	Red completa de honeypots interconectados	T-Pot, OpenCanary + network
Integrated Honeynet	Honeypots integrados en red de producción	Attivo, Illusive, Thinkst
Standalone Honeynet	Red honeypot aislada	T-Pot standalone

Decoy Object (D3-DO)

Técnica	Qué hace	Herramientas
Decoy File	Archivos señuelo que alertan al ser accedidos	Canary tokens, honeyfiles
Decoy Network Resource	Shares, servicios señuelo	Canary tokens, honeypots
Decoy Session Token	Tokens falsos que delatan al atacante	Credential canaries
Decoy User Credential	Credenciales falsas en LSASS/registry	Deception platforms
Decoy Persona	Cuentas de usuario señuelo en AD	Manual setup

Canary tokens son la forma más simple de deception: un archivo, URL, o credencial que genera una alerta cuando se accede. Gratuitos en canarytokens.org, efectivos para detectar lateral movement y data access no autorizado.

EVICT: Expulsar al adversario

Credential Eviction (D3-CE)

Técnica	Qué hace
Account Locking	Bloquear cuentas comprometidas
Authentication Cache Invalidation	Invalidar tickets/tokens cacheados
Credential Revoking	Revocar credenciales y certificados

Process Eviction (D3-PE)

Técnica	Qué hace
Process Termination	Matar procesos maliciosos
File Removal	Eliminar/cuarentenar archivos maliciosos

Priorización por madurez

Nivel madurez	Categoría D3FEND prioritaria	Por qué
Inicial	HARDEN	Reducir superficie antes de poder detectar
Básico	DETECT (Platform Monitoring)	Visibilidad mínima: Sysmon, logs
Intermedio	DETECT (Network + Process Analysis)	Detección activa en red y endpoint
Avanzado	ISOLATE + DECEIVE	Contención rápida + deception activa
Experto	Todas equilibradas + EVICT automatizado	SOAR con respuesta automatizada

Conclusión

La taxonomía D3FEND proporciona un vocabulario técnico preciso para defensas. Las 5 categorías cubren el ciclo completo: prevenir (Harden), detectar (Detect), contener (Isolate), engañar (Deceive) y expulsar (Evict). Priorizar por madurez y mapear contra ATT&CK permite construir defensa en profundidad de forma sistemática.

Fuentes y referencias

MITRE D3FEND: Taxonomy
MITRE: "D3FEND Technical Report" (2021)
Thinkst: Canary Tokens (deception gratuita)
SANS: "Defense in Depth with D3FEND" (2023)