¿Qué es MITRE ENGAGE?

ENGAGE es un framework de MITRE para defensa activa: en vez de solo detectar y bloquear, el defensor interactúa intencionalmente con el adversario usando deception (engaño), denial (denegación), y disruption (interrupción) para recopilar inteligencia, desgastar al atacante, y proteger activos reales.

¿Cuál es la diferencia entre D3FEND y ENGAGE?

D3FEND cubre todo el espectro defensivo (Harden, Detect, Isolate, Deceive, Evict). ENGAGE se centra específicamente en la interacción activa con el adversario (Deceive es una de las 5 categorías D3FEND). ENGAGE profundiza en estrategias de engagement que D3FEND solo menciona.

¿La deception es legal?

Sí, dentro de tu propia infraestructura. Honeypots, honeytokens y canary files en tu red son legales en todas las jurisdicciones. No implican hackback ni acceso a sistemas del atacante. Consultar con legal si planeas engagement activo más allá de tu perímetro.

IntermedioMITRE ENGAGEdeceptionhoneypotsdefensa activaframeworks

MITRE ENGAGE: Deception y Denial como Defensa Activa

Guía de MITRE ENGAGE: framework de defensa activa basado en deception (engaño) y denial (denegación). Honeypots, honeytokens, deception technology, adversary engagement, y cómo integrar ENGAGE con ATT&CK y D3FEND.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 36

ENGAGE cambia la dinámica: en vez de solo defender, interactúas con el adversario para obtener ventaja

La defensa tradicional es reactiva: detectar, bloquear, limpiar. MITRE ENGAGE propone defensa activa: interactuar intencionalmente con el adversario usando deception y denial para recopilar inteligencia sobre sus TTPs, desgastar sus recursos, y proteger los activos reales mientras el atacante pierde tiempo con señuelos.

Los 5 objetivos de ENGAGE

PREPARE    → Planificar operaciones de engagement
EXPOSE     → Hacer que el adversario revele sus TTPs (observación)
AFFECT     → Influir en las decisiones del adversario (deception/denial)
ELICIT     → Provocar acciones del adversario que revelen información
UNDERSTAND → Analizar la inteligencia obtenida del engagement

Actividades de engagement

Actividad	Categoría	Descripción	Herramientas
Honeypots	EXPOSE	Servicios falsos que atraen al atacante	T-Pot, Cowrie, Conpot, OpenCanary
Honeytokens	EXPOSE	Credenciales/archivos señuelo	Canarytokens.org, SpaceCrab
Honeyfiles	EXPOSE	Documentos señuelo en shares	Canary files, decoy documents
Honey accounts	EXPOSE	Cuentas AD señuelo	Manual setup en AD
Network deception	AFFECT	Red falsa que confunde al atacante	Attivo, Illusive, Thinkst Canary
Pocket litter	AFFECT	Información falsa plantada	Fake credentials, fake data
Strategic deception	AFFECT	Información falsa sobre defensas	Aparentar más/menos protegido
Tarpits	AFFECT	Servicios que ralentizan al atacante	LaBrea, endlessh
Burn resources	AFFECT	Hacer que el atacante gaste tiempo/tools	Honeypots complejos, false leads
Tainting	ELICIT	Datos marcados para rastrear exfiltración	Watermarks, unique identifiers

Implementación práctica por nivel de madurez

Nivel 1: Quick wins (coste $0, 1 dia)

Deception	Implementación	Detecta
Canary tokens	canarytokens.org: crear DNS/HTTP/Word tokens	Acceso no autorizado a archivos
Honeyfiles	Archivos "passwords.xlsx", "backup-keys.txt" en shares	Lateral movement + data access
Honey admin	Cuenta "admin_backup" en AD con alerta si se usa	Credential dumping
Fake RDP	Servidor con RDP abierto que solo logea intentos	Network scanning + brute force

Nivel 2: Medio (coste bajo, 1-2 semanas)

Deception	Implementación	Detecta
OpenCanary	Honeypot multi-protocolo (SSH, HTTP, SMB, FTP)	Reconnaissance + lateral
Thinkst Canary	Dispositivo señuelo en cada VLAN	Cualquier acceso indica compromiso
endlessh	SSH tarpit que atrapa scanners	SSH brute force
Fake LDAP entries	OUs y grupos señuelo en AD	AD enumeration
Decoy shares	Shares de red con nombres atractivos	Data collection

Nivel 3: Avanzado (inversión, equipo dedicado)

Deception	Implementación	Valor
Full deception platform	Attivo, Illusive, CounterCraft	Red completa de señuelos
Adversary engagement	Interacción controlada con atacante	Inteligencia sobre TTPs
Automated deception	SOAR triggers deception basado en alertas	Escalable
Threat intel from engagement	Análisis de herramientas y comportamiento del atacante	Información que los feeds públicos no tienen

ENGAGE + ATT&CK + D3FEND: integración

ATT&CK documenta: "Atacante usa T1003.001 (LSASS dump)"
D3FEND responde:  "Implementar Credential Guard (D3-CH)"
ENGAGE añade:     "Plantar honey credentials en LSASS que
                   alertan cuando se usan y revelan el
                   siguiente paso del atacante (T1021.002
                   lateral movement) sin que lo sepa"

ATT&CK = qué hace el atacante
D3FEND = cómo prevenirlo/detectarlo
ENGAGE = cómo usar su presencia a tu favor

Por qué deception funciona

El atacante tiene una desventaja fundamental en un entorno con deception:

SIN DECEPTION:
  Atacante: "Encuentro 50 shares de red. Algunos tienen datos valiosos."
  → El atacante sabe que todo es real
  → Cada share accedido puede tener datos reales

CON DECEPTION:
  Atacante: "Encuentro 55 shares de red. ¿Cuáles son reales y cuáles señuelos?"
  → El atacante NO puede distinguir real de falso
  → Cada share accedido puede ser una trampa que alerta al SOC
  → El atacante se vuelve más lento y cauteloso
  → O accede a un señuelo y el SOC recibe alerta inmediata

El defensor sabe cuáles son los señuelos. El atacante no. Esta asimetría de información invierte la ventaja habitual del atacante.

Métricas de deception

Métrica	Qué mide	Target
MTTD (Mean Time to Detect) con deception	Tiempo hasta que un honeytoken alerta	< 1 hora
False positive rate	Alertas de deception que son legítimas	< 5% (deception tiene FP muy bajo)
Engagement duration	Cuánto tiempo el atacante interactúa con señuelos	Más = mejor (desgaste)
Intelligence gathered	TTPs descubiertos via engagement	Cualitativo
Coverage	% de VLANs/subnets con al menos un señuelo	> 80%

Conclusión

ENGAGE transforma la defensa de pasiva a activa. Deception tiene una ventaja única: tasa de falsos positivos extremadamente baja (un acceso a un honeytoken que nadie debe tocar es casi siempre malicioso). Quick wins como canary tokens y honeyfiles cuestan $0 y detectan lateral movement antes que muchos EDRs. PENDIENTE: ampliar con lab práctico de setup de deception network.

Fuentes y referencias

MITRE: ENGAGE
Thinkst: Canary documentation
SANS: "Active Defense and Deception" (2024)
CounterCraft: "Deception Technology State of the Market" (2025)