¿Qué es MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento global que documenta las tácticas y técnicas que usan los adversarios reales en ciberataques. Creada por MITRE Corporation, es el estándar de facto para describir comportamiento ofensivo en ciberseguridad.

¿Cuántas tácticas tiene MITRE ATT&CK Enterprise?

La matriz Enterprise tiene 14 tácticas: Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration e Impact.

¿Qué diferencia hay entre táctica, técnica y procedimiento?

Una táctica es el objetivo del adversario (por qué). Una técnica es el método para lograr ese objetivo (cómo). Un procedimiento es la implementación específica de esa técnica por un actor concreto (quién y exactamente cómo). Ejemplo: Persistence (táctica) → Scheduled Task (técnica) → APT28 creando tarea 'SystemUpdate' cada 30 min (procedimiento).

¿MITRE ATT&CK es solo para empresas grandes?

No. ATT&CK es útil para cualquier equipo de seguridad. Un SOC de 3 personas puede usarlo para priorizar detecciones. Un analista individual puede usarlo para estructurar un informe de incidente. Es un lenguaje común, no una herramienta enterprise.

¿Cómo empiezo a usar MITRE ATT&CK?

Empieza por familiarizarte con las 14 tácticas y las técnicas más comunes en tu sector. Usa el ATT&CK Navigator para visualizar tu cobertura de detección. Mapea tus alertas existentes a técnicas ATT&CK. No intentes cubrir todo a la vez: prioriza por las amenazas relevantes para tu organización.

PrincipianteMITRE ATT&CKframeworksTTPsSOCthreat hunting

MITRE ATT&CK Explicado: Tácticas, Técnicas y Procedimientos

Guía completa de MITRE ATT&CK en español: qué es, cómo funciona, estructura de tácticas-técnicas-procedimientos (TTPs), cómo usarlo en SOC, threat hunting e incident response, y por qué es el estándar global en ciberseguridad.

MalwareIntel Research·27 de mayo de 2026·9 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 1

MITRE ATT&CK es la base de conocimiento que documenta cómo atacan los adversarios reales

MITRE ATT&CK es un framework que cataloga las tácticas, técnicas y procedimientos (TTPs) observados en ciberataques reales. No es una herramienta ni un producto: es un lenguaje universal que permite a defensores, analistas SOC, threat hunters y equipos de respuesta a incidentes describir el comportamiento adversario de forma estructurada y consistente. Creado por MITRE Corporation en 2013 y público desde 2015, se ha convertido en el estándar global para inteligencia de amenazas y evaluación de capacidades defensivas.

Origen: del proyecto interno al estándar global

MITRE ATT&CK nació en 2013 como un proyecto interno del MITRE Fort Meade Experiment (FMX), donde investigadores documentaban las técnicas que observaban en ataques APT contra redes empresariales. La idea era simple: si podemos catalogar cómo atacan los adversarios, podemos medir si nuestras defensas los detectan.

Hito	Año	Impacto
Creación interna (FMX)	2013	9 tácticas, ~60 técnicas
Publicación pública	2015	Accesible para toda la comunidad
ATT&CK for Enterprise v1	2017	Windows, Linux, macOS
ATT&CK for Mobile	2018	Android e iOS
ATT&CK for ICS	2020	Sistemas de control industrial
ATT&CK for Cloud	2020	IaaS, SaaS, Office 365
Sub-techniques	2020	Mayor granularidad (~500 sub-techniques)
ATT&CK v15	2024	14 tácticas, 201 técnicas, ~600 sub-techniques
Actualizaciones bianuales	Continuo	Abril y octubre de cada año

Hoy ATT&CK es referenciado por NIST, CISA, ENISA, NSA, y prácticamente todo vendor de ciberseguridad. Los informes de threat intelligence de Mandiant, CrowdStrike, Microsoft y Kaspersky mapean sus hallazgos a ATT&CK.

La estructura: tácticas, técnicas, sub-técnicas y procedimientos

Tácticas: el POR QUÉ

Una táctica representa el objetivo del adversario en una fase del ataque. Es la razón por la que ejecuta una acción. Las 14 tácticas de la matriz Enterprise, en orden de la kill chain:

#	Táctica	ID	Objetivo del adversario
1	Reconnaissance	TA0043	Recopilar información sobre el objetivo
2	Resource Development	TA0042	Preparar infraestructura y herramientas
3	Initial Access	TA0001	Entrar en la red del objetivo
4	Execution	TA0002	Ejecutar código malicioso
5	Persistence	TA0003	Mantener acceso tras reboot/cambios
6	Privilege Escalation	TA0004	Obtener permisos más altos
7	Defense Evasion	TA0005	Evitar ser detectado
8	Credential Access	TA0006	Robar credenciales
9	Discovery	TA0007	Entender el entorno comprometido
10	Lateral Movement	TA0008	Moverse a otros sistemas
11	Collection	TA0009	Recopilar datos de interés
12	Command and Control	TA0011	Comunicarse con sistemas comprometidos
13	Exfiltration	TA0010	Extraer datos fuera de la red
14	Impact	TA0040	Causar daño (cifrado, destrucción, manipulación)

Las tácticas no son secuenciales obligatorias. Un atacante puede saltar entre tácticas, repetirlas, o no usar todas. Un ransomware puede ir de Initial Access directamente a Execution y luego a Impact, sin pasar por Lateral Movement si ataca un solo endpoint.

Técnicas: el CÓMO

Una técnica es el método específico que usa el adversario para lograr una táctica. Cada táctica contiene múltiples técnicas. La versión actual tiene ~201 técnicas.

Ejemplo para la táctica Persistence (TA0003):

Técnica	ID	Descripción
Boot or Logon Autostart	T1547	Ejecutar código al iniciar sesión
Scheduled Task/Job	T1053	Crear tarea programada
Create or Modify System Process	T1543	Registrar servicio del sistema
Event Triggered Execution	T1546	Ejecutar por evento del sistema
Server Software Component	T1505	Web shell, SQL stored procedure
Hijack Execution Flow	T1574	DLL hijacking, PATH manipulation

Sub-técnicas: el CÓMO exactamente

Las sub-técnicas añaden granularidad. T1053 Scheduled Task/Job tiene 5 sub-técnicas:

T1053.002: At (Unix)
T1053.003: Cron
T1053.005: Scheduled Task (Windows)
T1053.006: Systemd Timers
T1053.007: Container Orchestration Job

Esta granularidad permite que un informe de incidente diga exactamente "el atacante usó T1053.005 (Scheduled Task en Windows)" en lugar de solo "creó una tarea programada".

Procedimientos: el QUIÉN y CUÁNDO

Un procedimiento es la implementación concreta de una técnica por un actor específico. No tienen ID propio: son descripciones dentro de la documentación de cada técnica o grupo.

Ejemplo:

Técnica: T1053.005 (Scheduled Task)
Procedimiento de APT28: Crea tarea programada llamada "SystemUpdate" que ejecuta su backdoor X-Agent cada 30 minutos via schtasks.exe
Procedimiento de Lazarus: Crea tarea via COM object (no schtasks) para evitar logging, con trigger al inicio de sesión

Los procedimientos son lo que diferencia la teoría (técnica) de la realidad (cómo lo hace un grupo concreto).

Las cuatro matrices de ATT&CK

Enterprise (la principal)

Cubre entornos empresariales: Windows, macOS, Linux, Cloud (AWS, Azure, GCP, SaaS), Network, Containers. Es la más completa con 14 tácticas y ~201 técnicas.

Mobile

Cubre Android e iOS. Tácticas similares pero adaptadas: acceso al dispositivo, intercepción de comunicaciones, acceso a sensores, exfiltración via canales móviles.

ICS (Industrial Control Systems)

Cubre sistemas de control industrial: PLCs, SCADA, HMIs, RTUs. Incluye tácticas específicas como "Inhibit Response Function" (impedir que los operadores respondan) e "Impair Process Control" (alterar procesos físicos).

Cloud (integrada en Enterprise)

No es una matriz separada desde 2020. Las técnicas cloud están integradas en Enterprise con plataformas específicas (IaaS, SaaS, Azure AD, Google Workspace, Office 365).

Cómo se usa ATT&CK en la práctica

En el SOC: mapear alertas a técnicas

Cada alerta del SIEM o EDR se puede mapear a una o más técnicas ATT&CK. Esto transforma alertas aisladas en una narrativa de ataque.

Alerta: "PowerShell ejecutó Invoke-WebRequest a IP externa"
  → Técnica: T1059.001 (PowerShell) + T1105 (Ingress Tool Transfer)
  → Táctica: Execution + Command and Control
  → Contexto: el atacante está descargando herramientas post-explotación

Alerta: "Nuevo servicio creado: svchost32"
  → Técnica: T1543.003 (Windows Service)
  → Táctica: Persistence
  → Contexto: el atacante está estableciendo persistencia

Sin ATT&CK, estas son dos alertas independientes. Con ATT&CK, forman parte de una cadena de ataque reconocible.

En Threat Hunting: formular hipótesis

Los threat hunters usan ATT&CK para formular hipótesis de caza:

Hipótesis: "Un atacante podría estar usando Kerberoasting (T1558.003)
            para obtener credenciales de servicio en nuestro AD"

Datos a buscar:
  - Event ID 4769 con cifrado RC4 (etype 0x17)
  - Solicitudes TGS masivas desde un solo host
  - Solicitudes a SPNs de cuentas con contraseñas débiles

Si encuentro evidencia → investigar como incidente
Si no encuentro → documentar y pasar a la siguiente hipótesis

En Incident Response: estructurar el informe

ATT&CK proporciona un vocabulario estándar para informes de incidentes:

RESUMEN DEL INCIDENTE (mapeado a ATT&CK)

Initial Access:  T1566.001 — Phishing con adjunto Excel malicioso
Execution:       T1059.001 — Macro ejecuta PowerShell
Persistence:     T1053.005 — Tarea programada "UpdateHealth"
Credential:      T1003.001 — Mimikatz dump de LSASS
Lateral:         T1021.002 — PsExec a 3 servidores via SMB
Exfiltration:    T1567.002 — Datos subidos a MEGA via rclone
Impact:          T1486 — LockBit 3.0 cifrado de 47 endpoints

En evaluación de seguridad: medir cobertura

Con el ATT&CK Navigator puedes crear un heatmap de tu cobertura:

Verde: técnica con detección activa y probada
Amarillo: técnica con detección parcial o sin probar
Rojo: técnica sin ninguna detección
Gris: técnica no relevante para tu entorno

Esto permite responder la pregunta: "¿Qué tan preparados estamos contra las técnicas que usa APT28?" de forma visual y medible.

ATT&CK no es una kill chain lineal

Un error común es tratar ATT&CK como una secuencia lineal (primero Initial Access, luego Execution, etc.). En realidad:

Un atacante puede ejecutar técnicas de múltiples tácticas simultáneamente
Puede volver a tácticas anteriores (volver a hacer Discovery después de Lateral Movement)
Puede omitir tácticas completas (no todo ataque exfiltra datos)
Múltiples técnicas de la misma táctica pueden usarse en paralelo

ATT&CK es un mapa de posibilidades, no un camino fijo. La kill chain de Lockheed Martin es secuencial. ATT&CK es una matriz bidimensional donde el atacante se mueve libremente.

Limitaciones de ATT&CK

ATT&CK es extremadamente útil, pero no es perfecto:

Sesgo hacia lo conocido: solo documenta técnicas observadas y publicadas. Técnicas zero-day o de actores muy avanzados pueden no estar representadas.
Enfoque post-compromiso: las tácticas Reconnaissance y Resource Development se añadieron después. ATT&CK es más fuerte en lo que ocurre dentro de la red.
Granularidad variable: algunas técnicas son muy específicas (T1055.012: Process Hollowing) mientras otras son amplias (T1059: Command and Scripting Interpreter).
No prioriza: ATT&CK no dice qué técnicas son más peligrosas o más probables para tu sector. Esa priorización la debe hacer tu equipo CTI.
Mantenimiento: con ~800 técnicas+sub-técnicas, mantener un mapeo actualizado requiere esfuerzo continuo.

Recursos oficiales

Recurso	URL	Uso
Sitio web ATT&CK	attack.mitre.org	Base de conocimiento completa
ATT&CK Navigator	mitre-attack.github.io/attack-navigator	Visualización y heatmaps
ATT&CK Workbench	github.com/center-for-threat-informed-defense	Personalización
STIX/TAXII	github.com/mitre-attack/attack-stix-data	Datos en formato STIX 2.1
ATT&CK Evaluations	attackevals.mitre-engenuity.org	Evaluaciones de EDR

Conclusión

MITRE ATT&CK es el lenguaje universal de la ciberseguridad ofensiva y defensiva. No es una herramienta que instalas sino un framework que estructura cómo piensas sobre los ataques y las defensas. Los siguientes artículos de esta serie desgranan cada táctica en profundidad, empezando por la matriz Enterprise completa.

Fuentes y referencias

MITRE ATT&CK: Getting Started
Strom, B. et al.: "MITRE ATT&CK: Design and Philosophy" (MITRE Technical Report, 2020)
CISA: "Best Practices for MITRE ATT&CK Mapping" (2023)
Center for Threat-Informed Defense: ATT&CK resources
SANS: "Using ATT&CK for CTI" (Katie Nickels, 2021)

Preguntas frecuentes

Libros recomendados

MITRE ATT&CK Defender (MAD) Certification Guide

Amazon (enlace afiliado)

Threat Intelligence with MITRE ATT&CK (Schultz)