IntermedioMITRE ATT&CKEnterprisematriztácticasframeworks

La Matriz Enterprise de MITRE ATT&CK: Recorrido Completo

Recorrido completo por la matriz Enterprise de MITRE ATT&CK: las 14 tácticas, sus técnicas más relevantes, cómo se relacionan entre sí, y cómo leer e interpretar la matriz para defensa, detección y threat hunting.

MalwareIntel Research··8 min lectura
Serie: MITRE ATT&CK y D3FEND — Parte 2

La matriz Enterprise es el mapa completo de cómo los adversarios operan en entornos corporativos

La matriz Enterprise de MITRE ATT&CK organiza 201 técnicas en 14 tácticas que representan el ciclo completo de un ciberataque: desde el reconocimiento previo hasta el impacto final. Es la matriz más utilizada de ATT&CK y la base sobre la que se construyen detecciones, evaluaciones de EDR y reportes de threat intelligence. Este artículo recorre las 14 tácticas con sus técnicas más importantes, ejemplos reales y oportunidades de detección.

Cómo leer la matriz

La matriz Enterprise se presenta como una tabla donde:

  • Columnas = tácticas (14), ordenadas de izquierda a derecha como progresión general de un ataque
  • Filas dentro de cada columna = técnicas disponibles para esa táctica
  • Cada técnica puede expandirse en sub-técnicas
 TA0043    TA0042    TA0001    TA0002    TA0003    ...    TA0040
 Recon     Res.Dev   Init.Acc  Execution Persist         Impact
┌────────┬─────────┬─────────┬─────────┬─────────┬     ┬─────────┐
│ T1595  │ T1583   │ T1566   │ T1059   │ T1547   │     │ T1486   │
│ T1592  │ T1584   │ T1190   │ T1053   │ T1053   │ ... │ T1490   │
│ T1589  │ T1587   │ T1078   │ T1047   │ T1543   │     │ T1489   │
│ ...    │ ...     │ ...     │ ...     │ ...     │     │ ...     │
└────────┴─────────┴─────────┴─────────┴─────────┴     ┴─────────┘

Las 14 tácticas: resumen ejecutivo

Pre-compromiso (antes de tocar la red objetivo)

TA0043: Reconnaissance (Reconocimiento)

Objetivo: Recopilar información para planificar el ataque.

Técnicas clave:

  • T1595: Active Scanning (escaneo de puertos, vulnerabilidades)
  • T1592: Gather Victim Host Information (SO, software, versiones)
  • T1589: Gather Victim Identity Information (emails, credenciales filtradas)
  • T1593: Search Open Websites/Domains (Google dorking, Shodan, LinkedIn)

Detección difícil porque ocurre fuera de la red. Las señales están en logs de firewall (escaneos), honeytokens y monitorización de información expuesta.

TA0042: Resource Development (Desarrollo de Recursos)

Objetivo: Preparar la infraestructura de ataque.

Técnicas clave:

  • T1583: Acquire Infrastructure (comprar dominios, servidores C2)
  • T1584: Compromise Infrastructure (hackear servidores legítimos para C2)
  • T1587: Develop Capabilities (crear malware, exploits)
  • T1585: Establish Accounts (crear cuentas en redes sociales para phishing)

Detección difícil porque ocurre en infraestructura del atacante. Threat intelligence puede identificar dominios sospechosos registrados recientemente.

Acceso y ejecución

TA0001: Initial Access (Acceso Inicial)

Objetivo: Entrar en la red del objetivo.

Técnicas clave:

  • T1566: Phishing (con adjunto .001, con enlace .002, via servicio .003)
  • T1190: Exploit Public-Facing Application (CVEs en servicios expuestos)
  • T1078: Valid Accounts (credenciales robadas o por defecto)
  • T1195: Supply Chain Compromise (comprometer un proveedor)
  • T1133: External Remote Services (VPN, RDP expuestos)

Cubierta en detalle en el artículo dedicado a Initial Access.

TA0002: Execution (Ejecución)

Objetivo: Ejecutar código malicioso en el sistema.

Técnicas clave:

  • T1059: Command and Scripting Interpreter (PowerShell .001, Bash .004, Python .006)
  • T1053: Scheduled Task/Job
  • T1047: WMI (Windows Management Instrumentation)
  • T1204: User Execution (el usuario abre el archivo malicioso)
  • T1569: System Services (ejecución via servicio)

Señales de detección: procesos hijo anómalos (Word → cmd → PowerShell), scripts con ofuscación, ejecución desde %TEMP%.

Mantenimiento del acceso

TA0003: Persistence (Persistencia)

Objetivo: Mantener el acceso tras reboot o cambios en el sistema.

Técnicas clave:

  • T1547: Boot or Logon Autostart (Run keys, Startup folder)
  • T1053: Scheduled Task/Job
  • T1543: Create or Modify System Process (servicios)
  • T1546: Event Triggered Execution (WMI subscriptions, AppInit DLLs)
  • T1505: Server Software Component (web shells)
  • T1136: Create Account (nueva cuenta de usuario)

Señales de detección: nuevas claves Run, servicios creados, tareas programadas, cuentas de usuario nuevas.

TA0004: Privilege Escalation (Escalada de Privilegios)

Objetivo: Obtener permisos más altos (de usuario a admin, de admin a SYSTEM).

Técnicas clave:

  • T1068: Exploitation for Privilege Escalation (CVEs de escalada local)
  • T1548: Abuse Elevation Control Mechanism (UAC bypass, sudo abuse)
  • T1134: Access Token Manipulation
  • T1547: Boot or Logon Autostart (también sirve para escalada)

Muchas técnicas de Persistence también escalan privilegios, por eso aparecen en ambas tácticas.

Operaciones sigilosas

TA0005: Defense Evasion (Evasión de Defensas)

Objetivo: Evitar ser detectado por herramientas de seguridad.

Es la táctica con más técnicas (~40). Técnicas clave:

  • T1027: Obfuscated Files or Information (ofuscación)
  • T1055: Process Injection (inyección en procesos legítimos)
  • T1562: Impair Defenses (desactivar AV, AMSI, logs)
  • T1070: Indicator Removal (borrar logs, timestomping)
  • T1036: Masquerading (renombrar procesos para parecer legítimos)
  • T1218: System Binary Proxy Execution (LOLBins: mshta, regsvr32, rundll32)
  • T1014: Rootkit

Señales de detección: ejecución de LOLBins con argumentos sospechosos, modificación de herramientas de seguridad, borrado selectivo de logs.

TA0006: Credential Access (Acceso a Credenciales)

Objetivo: Robar credenciales para acceder a más sistemas.

Técnicas clave:

  • T1003: OS Credential Dumping (LSASS .001, SAM .002, NTDS .003)
  • T1558: Steal or Forge Kerberos Tickets (Kerberoasting .003, Golden Ticket .001)
  • T1110: Brute Force
  • T1557: Adversary-in-the-Middle (LLMNR/NBT-NS poisoning .001)
  • T1552: Unsecured Credentials (archivos, registros, variables de entorno)

Señales de detección: acceso a LSASS (Event 10 Sysmon), solicitudes TGS con RC4 (Event 4769), tráfico LLMNR/NBNS anómalo.

Movimiento y recopilación

TA0007: Discovery (Descubrimiento)

Objetivo: Entender el entorno comprometido.

Técnicas clave:

  • T1087: Account Discovery (enumerar usuarios)
  • T1018: Remote System Discovery (escaneo de red)
  • T1069: Permission Groups Discovery (Domain Admins)
  • T1082: System Information Discovery (hostname, OS, arquitectura)
  • T1083: File and Directory Discovery

Señales de detección: consultas LDAP masivas, escaneo interno desde endpoint de usuario, ejecución de net group, whoami, systeminfo en secuencia.

TA0008: Lateral Movement (Movimiento Lateral)

Objetivo: Moverse a otros sistemas de la red.

Técnicas clave:

  • T1021: Remote Services (RDP .001, SMB .002, WinRM .006, SSH .004)
  • T1570: Lateral Tool Transfer
  • T1550: Use Alternate Authentication Material (Pass-the-Hash .002, Pass-the-Ticket .003)

Señales de detección: autenticaciones tipo 3/10 anómalas, PsExec (nuevo servicio Event 7045), acceso a Admin shares desde endpoints de usuario.

TA0009: Collection (Recopilación)

Objetivo: Recopilar datos de interés antes de exfiltrar.

Técnicas clave:

  • T1560: Archive Collected Data (7-Zip, WinRAR)
  • T1005: Data from Local System
  • T1039: Data from Network Shared Drive
  • T1114: Email Collection
  • T1113: Screen Capture

Comunicación y extracción

TA0011: Command and Control (C2)

Objetivo: Mantener comunicación con los sistemas comprometidos.

Técnicas clave:

  • T1071: Application Layer Protocol (HTTPS .001, DNS .004)
  • T1573: Encrypted Channel
  • T1105: Ingress Tool Transfer
  • T1572: Protocol Tunneling
  • T1090: Proxy (multi-hop)

Señales de detección: beaconing regular (intervalos fijos), DNS con entropy alta (tunneling), conexiones a dominios jóvenes, tráfico HTTPS a IPs sin SNI.

TA0010: Exfiltration (Exfiltración)

Objetivo: Sacar datos fuera de la red.

Técnicas clave:

  • T1567: Exfiltration Over Web Service (cloud storage)
  • T1048: Exfiltration Over Alternative Protocol
  • T1041: Exfiltration Over C2 Channel
  • T1029: Scheduled Transfer

Señales de detección: volumen anómalo saliente, conexiones a cloud storage desde servidores, transferencias fuera de horario.

TA0040: Impact (Impacto)

Objetivo: Causar daño: cifrado, destrucción, manipulación de datos.

Técnicas clave:

  • T1486: Data Encrypted for Impact (ransomware)
  • T1490: Inhibit System Recovery (eliminar backups, shadow copies)
  • T1489: Service Stop (detener servicios)
  • T1485: Data Destruction (wipers)
  • T1498: Network Denial of Service

Técnicas que aparecen en múltiples tácticas

Algunas técnicas sirven para varios objetivos:

TécnicaTácticas donde apareceRazón
T1053 Scheduled TaskExecution, Persistence, Priv.Esc.Ejecuta código, persiste, y puede correr como SYSTEM
T1547 Boot AutostartPersistence, Priv.Esc.Persiste y puede ejecutar con privilegios elevados
T1055 Process InjectionDefense Evasion, Priv.Esc.Oculta código y puede heredar privilegios del proceso target
T1078 Valid AccountsInitial Access, Persistence, Priv.Esc., Defense EvasionAcceso, persistencia, escalada, y apariencia legítima

Plataformas cubiertas

La matriz Enterprise no es solo Windows. Las técnicas están etiquetadas por plataforma:

PlataformaTécnicasEjemplos
Windows~180Mayoría de técnicas
Linux~120Rootkits, cron, systemd
macOS~90Launch daemons, Dylib hijacking
Cloud (IaaS)~40IMDSv1 abuse, EC2 takeover
Cloud (SaaS)~30OAuth abuse, email forwarding rules
Containers~25Container escape, K8s abuse
Network~20Router implants, SNMP abuse

Cómo empezar con la matriz

Paso 1: Identifica tus amenazas

Busca los grupos que atacan tu sector en ATT&CK. Si eres sector financiero, busca FIN7, Carbanak, Lazarus. Revisa sus técnicas documentadas.

Paso 2: Mapea tu cobertura actual

Abre el ATT&CK Navigator y marca las técnicas que tus herramientas detectan. Identifica los gaps.

Paso 3: Prioriza

No intentes cubrir todo. Prioriza:

  1. Técnicas más usadas por tus amenazas relevantes
  2. Técnicas con alto impacto (Initial Access, Lateral Movement, Impact)
  3. Técnicas donde ya tienes datos pero no detecciones

Paso 4: Construye y valida

Para cada técnica priorizada, construye o verifica una detección. Valida con emulación (Atomic Red Team, CALDERA).

Conclusión

La matriz Enterprise es el mapa de batalla de la ciberseguridad. Conocer las 14 tácticas y sus técnicas principales permite a cualquier equipo de seguridad hablar un lenguaje común, medir su cobertura y priorizar inversiones. Los siguientes artículos de esta serie desgranan cada táctica individualmente, empezando por Initial Access.

Fuentes y referencias

  • MITRE ATT&CK: Enterprise Matrix
  • MITRE: "ATT&CK Design and Philosophy" (2020)
  • Center for Threat-Informed Defense: "Top ATT&CK Techniques" (2022)
  • Red Canary: "Threat Detection Report 2025" (técnicas más observadas)
  • SANS: "A Practical Guide to MITRE ATT&CK" (2023)

Preguntas frecuentes

Libros recomendados

MITRE ATT&CK Defender (MAD) Certification Guide

Amazon (enlace afiliado)

Artículos relacionados

MITRE ATT&CK y D3FENDPrincipiante

MITRE ATT&CK Explicado: Tácticas, Técnicas y Procedimientos

MITRE ATT&CK y D3FENDIntermedio

Initial Access (TA0001): Todas las Técnicas de Acceso Inicial

MITRE ATT&CK y D3FENDIntermedio

ATT&CK Navigator: Uso Avanzado y Personalización

MITRE ATT&CK y D3FENDIntermedio

Mapping Malware a ATT&CK: Metodología Práctica

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.