Decider es una herramienta web gratuita de CISA y MITRE Engenuity que guía a analistas paso a paso para mapear comportamiento observado a técnicas ATT&CK. Usa un árbol de decisión con preguntas simples en vez de requerir conocimiento profundo de todas las técnicas.

¿Decider es mejor que TRAM?

Son complementarios. TRAM es automático (procesa texto de informes). Decider es interactivo (el analista responde preguntas). TRAM para alto volumen de informes. Decider para análisis cuidadoso de comportamiento observado.

PrincipianteMITRE ATT&CKDeciderCISAmappingherramientas

Decider: Asistente Interactivo para Mapear a ATT&CK

Guía de CISA Decider: herramienta interactiva que guía a analistas paso a paso para mapear comportamiento adversario a técnicas ATT&CK mediante preguntas de decisión. Ideal para analistas con menos experiencia en ATT&CK.

MalwareIntel Research·27 de mayo de 2026·2 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 33

Decider guía a analistas menos experimentados para mapear correctamente comportamiento a ATT&CK

Mapear a ATT&CK requiere conocer las ~800 técnicas y sub-técnicas para elegir la correcta. Decider simplifica esto con un árbol de decisión: el analista responde preguntas sobre lo que observó y Decider sugiere la técnica más apropiada. Es especialmente útil para analistas N1/N2 que no tienen el framework memorizado.

Cómo funciona

Analista observa: "El atacante creó una tarea programada"

Decider pregunta:
  1. ¿El adversario intentó mantener acceso? → Sí → Persistence
  2. ¿Usó un mecanismo del sistema operativo? → Sí
  3. ¿Qué tipo de mecanismo?
     a) Tarea programada → T1053
     b) Servicio del sistema → T1543
     c) Clave de registro → T1547
     (selecciona: tarea programada)
  4. ¿En qué plataforma?
     a) Windows (Scheduled Task) → T1053.005
     b) Linux (Cron) → T1053.003
     c) Linux (Systemd Timer) → T1053.006
     (selecciona: Windows)

Resultado: T1053.005 (Scheduled Task)

Acceso

Web app: https://decider.mitre.org/
Self-hosted: https://github.com/cisagov/decider

Gratuito, sin registro. Disponible online o self-hosted.

Ventajas sobre mapping manual

Aspecto	Mapping manual	Con Decider
Experiencia requerida	Alta (conocer ~800 técnicas)	Baja (responder preguntas)
Consistencia	Variable (depende del analista)	Alta (mismo árbol de decisión)
Velocidad	Lenta (buscar en ATT&CK website)	Rápida (preguntas guiadas)
Errores comunes	Técnica demasiado genérica, táctica incorrecta	Reducidos por el árbol
Sub-técnicas	Frecuentemente olvidadas	Guiadas hasta la sub-técnica

Integración en flujo de trabajo SOC

ALERTA EDR → Analista N1 investiga
  → Identifica comportamiento: "proceso creó servicio persistente"
  → Abre Decider → responde preguntas
  → Resultado: T1543.003 (Windows Service)
  → Añade al ticket: "ATT&CK: T1543.003"
  → Escala a N2 con contexto ATT&CK preciso

Limitaciones

Solo cubre técnicas Enterprise (no Mobile ni ICS)
No sugiere técnicas que no preguntas (no descubre, solo clasifica)
Requiere que el analista describa correctamente lo observado
No exporta a Navigator directamente (copiar IDs manualmente)

PENDIENTE: ampliar con walkthrough completo de 3 escenarios.

Conclusión

Decider democratiza el mapping a ATT&CK. Un analista junior con Decider produce mappings más precisos que un analista medio sin él. Ideal para SOCs que quieren estandarizar el mapping sin depender de que todos los analistas memoricen el framework.

Fuentes y referencias

CISA: Decider
CISA: "Best Practices for MITRE ATT&CK Mapping" (2023)