Initial Access (TA0001): Todas las Técnicas de Acceso Inicial

Initial Access es cómo el adversario consigue su primer pie dentro de la red objetivo

La táctica Initial Access (TA0001) documenta las técnicas que los atacantes usan para obtener acceso inicial a un entorno. Es el punto de entrada de todo ataque, y frecuentemente es la fase más difícil de detectar porque ocurre en el perímetro, muchas veces con la interacción involuntaria de un usuario legítimo. MITRE ATT&CK documenta 9 técnicas principales, cada una con sub-técnicas que detallan variantes específicas.

Las 9 técnicas de Initial Access

T1566: Phishing

El vector más utilizado. El adversario envía comunicaciones engañosas para ejecutar código o robar credenciales.

Sub-técnicas:

• T1566.001: Spearphishing Attachment — Adjunto malicioso (Office con macros, ISO, IMG, VHD, ZIP con JS/LNK)
• T1566.002: Spearphishing Link — Enlace a página maliciosa (descarga de payload, credential harvesting)
• T1566.003: Spearphishing via Service — Phishing por redes sociales, mensajería (LinkedIn, Teams, Telegram)
• T1566.004: Spearphishing Voice — Vishing (llamadas engañosas), usado por Scattered Spider y LAPSUS$

Ejemplos reales:

Actor	Técnica	Detalle
Qakbot operators	T1566.001	Email con ZIP protegido → ISO → LNK → DLL
APT29	T1566.002	Link a página con HTML smuggling
Scattered Spider	T1566.004	Vishing a helpdesk para reset de MFA
Emotet	T1566.001	Thread hijacking con Excel adjunto

Detección:

• Email gateway: adjuntos sospechosos (.iso, .img, .lnk en ZIP), dominios recién registrados
• Sandbox de email: detonación de adjuntos antes de entrega
• DMARC/DKIM/SPF: rechazar email no autenticado
• Sysmon: ejecución de archivos desde %TEMP% tras apertura de Office

T1190: Exploit Public-Facing Application

Explotación de vulnerabilidades en servicios expuestos a Internet.

Ejemplos frecuentes (2024-2026):

CVE	Producto	Usado por
CVE-2023-46604	Apache ActiveMQ	Ransomware varios
CVE-2024-1709	ConnectWise ScreenConnect	LockBit, Black Basta
CVE-2023-34362	MOVEit Transfer	Cl0p (mass exploitation)
CVE-2024-3400	Palo Alto PAN-OS	UTA0218 (estado)
CVE-2023-27997	Fortinet FortiOS	Varios APTs

Detección:

• WAF con reglas actualizadas para CVEs conocidos
• Patching agresivo (SLA: críticos < 48h)
• Monitorización de servicios expuestos (Shodan, Censys)
• IDS/IPS: reglas Suricata/Snort para exploits conocidos
• Logs de aplicación: peticiones malformadas, errores 500 anómalos

T1078: Valid Accounts

Uso de credenciales legítimas obtenidas por otros medios (info stealers, data breaches, compra en marketplaces).

Sub-técnicas:

• T1078.001: Default Accounts — Credenciales por defecto no cambiadas
• T1078.002: Domain Accounts — Cuentas de dominio comprometidas
• T1078.003: Local Accounts — Cuentas locales
• T1078.004: Cloud Accounts — Cuentas cloud (AWS, Azure, GCP)

Frecuencia creciente: Los info stealers (RedLine, Lumma, Raccoon) generan millones de credenciales que se venden en mercados como Russian Market y Genesis. Un atacante compra credenciales VPN/RDP por $10-50 y tiene acceso directo sin exploit ni phishing.

Detección:

• MFA obligatorio en todos los accesos remotos
• Monitorización de autenticaciones anómalas (geolocalización, horario, dispositivo)
• Credential monitoring: monitorizar breaches y marketplaces
• Event 4624/4625: intentos de login, especialmente tipo 10 (RDP)
• Impossible travel: login desde Madrid y Moscú en 30 minutos

T1133: External Remote Services

Acceso a servicios remotos legítimos expuestos: VPN, RDP, Citrix, SSH.

A diferencia de T1190 (exploit de vulnerabilidad), aquí el atacante usa el servicio como está diseñado, con credenciales robadas o débiles. Es la combinación de T1078 + servicio remoto.

Detección:

• VPN: MFA + device compliance + anomaly detection
• RDP: nunca exponer directamente a Internet. Si es necesario, via VPN o jump host
• SSH: autenticación por clave, no por contraseña. Fail2ban + monitorización
• Citrix: patching + MFA + session recording

T1195: Supply Chain Compromise

Comprometer la cadena de suministro para distribuir malware via software legítimo.

Sub-técnicas:

• T1195.001: Compromise Software Dependencies — Paquetes maliciosos en npm, PyPI, NuGet
• T1195.002: Compromise Software Supply Chain — Backdoor en actualizaciones (SolarWinds, 3CX, XZ Utils)
• T1195.003: Compromise Hardware Supply Chain — Implants en hardware

Ejemplos:

• SolarWinds Orion (2020): APT29 backdoor en actualización
• Kaseya VSA (2021): REvil explota 0-day para ransomware masivo
• 3CX (2023): Lazarus backdoor en app de comunicaciones
• XZ Utils (2024): backdoor inserido por mantenedor malicioso en librerias de compresión

Detección:

• SBOM (Software Bill of Materials): inventario de dependencias
• Verificación de integridad de actualizaciones (hashes, firmas)
• Monitorización de comportamiento post-actualización
• Análisis de paquetes en repositorios (OpenSSF Scorecard)

T1189: Drive-by Compromise

El usuario visita un sitio web legítimo comprometido que explota vulnerabilidades del navegador.

Menos frecuente que en 2010-2015 gracias a sandboxing de navegadores y actualizaciones automáticas. Pero sigue siendo usado por APTs con exploits de 0-day de navegador (APT29 con Chrome exploits, Lazarus con Safari exploits).

Detección:

• Navegadores actualizados (auto-update habilitado)
• Web proxy con categorización y reputación
• DNS filtering (bloquear dominios de exploit kits conocidos)

T1199: Trusted Relationship

Acceder a la red objetivo a través de un proveedor o partner con acceso de confianza. El atacante compromete primero al proveedor (MSP, contratista IT, auditor) y usa su acceso VPN o herramienta de gestión para pivotar al objetivo real.

Ejemplos: Ataques a MSPs para acceder a sus clientes. El incidente de Kaseya es un híbrido entre T1195 y T1199.

Detección:

• Segmentar accesos de terceros (VLANs, Zero Trust)
• Monitorizar actividad de cuentas de proveedores
• Limitar permisos al mínimo necesario (least privilege)

T1200: Hardware Additions

Inserción de dispositivos físicos: USB maliciosos, implants de red (LAN Turtle, Raspberry Pi), dispositivos de keylogging.

Requiere acceso físico. Usado en ataques dirigidos y operaciones de espionaje.

Detección:

• Device control: políticas de USB (bloquear dispositivos no autorizados)
• NAC (Network Access Control): detectar nuevos dispositivos en la red
• Inspección física de hardware en entornos sensibles

T1091: Replication Through Removable Media

Propagación via USB, discos externos u otros medios removibles. Stuxnet es el ejemplo clásico: se propagaba via USB para alcanzar redes air-gapped.

Detección:

• Desactivar autorun/autoplay
• Monitorización de ejecución desde medios removibles
• Políticas de grupo que restrinjan USB

Priorización: qué defender primero

Basado en frecuencia de uso real (fuentes: Mandiant M-Trends, Red Canary, CrowdStrike):

Prioridad	Técnica	% ataques	Acción defensiva principal
P0	T1566 Phishing	40-50%	Email security + awareness + sandbox
P0	T1190 Exploit	25-30%	Patching < 48h + WAF
P0	T1078 Valid Accounts	15-20%	MFA everywhere + credential monitoring
P1	T1133 Remote Services	10-15%	MFA + VPN-only + device compliance
P1	T1195 Supply Chain	5-10%	SBOM + integrity verification
P2	T1189 Drive-by	2-5%	Browser updates + web proxy
P2	T1199 Trusted Rel.	2-5%	Segmentación + least privilege
P3	T1200 Hardware	menos de 1%	USB control + NAC
P3	T1091 Removable Media	menos de 1%	Disable autorun + USB policies

Conclusión

El acceso inicial es el primer eslabón de la cadena de ataque. Las tres técnicas dominantes (phishing, exploits, credenciales válidas) concentran el 85-95% de los accesos reales. Invertir en email security, patching rápido y MFA cubre la gran mayoría de los vectores de entrada. Las siguientes tácticas (Execution, Persistence) son donde el atacante consolida su posición.

Fuentes y referencias

• MITRE ATT&CK: Initial Access (TA0001)
• Mandiant: M-Trends 2025 (vectores de acceso más frecuentes)
• CrowdStrike: Global Threat Report 2025
• Red Canary: Threat Detection Report 2025
• CISA: Known Exploited Vulnerabilities Catalog