¿Cuántos frameworks tiene MITRE para ciberseguridad?

6 principales: ATT&CK Enterprise (ataques IT), ATT&CK Mobile (ataques móvil), ATT&CK ICS (ataques industriales), D3FEND (defensas técnicas), ATLAS (ataques a AI/ML), y ENGAGE (defensa activa/deception). Más el ecosistema de herramientas: Navigator, CALDERA, TRAM, Workbench, Decider, Attack Flow, y Top Techniques.

¿Necesito conocer todos los frameworks MITRE?

No todos con la misma profundidad. ATT&CK Enterprise es obligatorio para cualquier profesional de ciberseguridad. D3FEND es muy recomendable para SOC. Los demás dependen de tu rol: ICS si tocas OT, Mobile si gestionas dispositivos, ATLAS si proteges sistemas AI, ENGAGE si haces deception.

¿Por dónde empiezo?

ATT&CK Enterprise → Navigator → las 14 tácticas → Top Techniques (priorizar) → D3FEND (defensas) → CALDERA (validar). Este camino cubre el 80% de lo que necesita un analista SOC.

PrincipianteMITREframeworksATT&CKD3FENDATLASENGAGEcomparativa

Todas las Matrices MITRE Comparadas: Cuándo Usar Cada Una

Comparativa completa de todos los frameworks MITRE: ATT&CK Enterprise, Mobile, ICS, D3FEND, ATLAS, ENGAGE, y herramientas asociadas. Cuándo usar cada uno, cómo se relacionan, y guía de adopción por rol y madurez.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 39

MITRE ofrece 6 frameworks y un ecosistema de herramientas que cubren todo el espectro de ciberseguridad

El ecosistema MITRE para ciberseguridad ha crecido significativamente desde el lanzamiento de ATT&CK en 2015. Hoy incluye 6 frameworks principales y más de 10 herramientas asociadas. Este artículo es la guía de referencia para entender qué hace cada uno y cuándo usarlo.

Los 6 frameworks MITRE

Tabla comparativa

Framework	Año	Dominio	Perspectiva	Técnicas	Audiencia principal
ATT&CK Enterprise	2015	IT (Windows, Linux, macOS, Cloud)	Ofensiva	201 + ~600 sub	SOC, CTI, Red Team
ATT&CK Mobile	2018	Android, iOS	Ofensiva	~80	Mobile security, MDM
ATT&CK ICS	2020	SCADA, PLCs, OT	Ofensiva	~80	OT security, ICS-CERT
D3FEND	2021	Defensas técnicas	Defensiva	200+	SOC, Security Engineering
ATLAS	2022	AI/ML systems	Ofensiva	~30	AI Security, MLSecOps
ENGAGE	2022	Defensa activa	Defensiva	~30 activities	Deception teams, CTI

Relaciones entre frameworks

OFENSIVO (cómo atacan)          DEFENSIVO (cómo defenderse)
┌────────────────────┐          ┌────────────────────┐
│ ATT&CK Enterprise │◄────────►│     D3FEND         │
│ (IT attacks)       │          │ (technical defenses)│
└────────────────────┘          └────────────────────┘
┌────────────────────┐          ┌────────────────────┐
│ ATT&CK Mobile     │          │     ENGAGE         │
│ (mobile attacks)   │          │ (active defense)   │
└────────────────────┘          └────────────────────┘
┌────────────────────┐
│ ATT&CK ICS        │
│ (industrial attacks)│
└────────────────────┘
┌────────────────────┐
│ ATLAS              │
│ (AI/ML attacks)    │
└────────────────────┘

ATT&CK Enterprise ↔ D3FEND: mapeo directo ataque-defensa
ATT&CK ↔ ENGAGE: ENGAGE usa ATT&CK para planificar qué técnicas engañar
ATT&CK ↔ ATLAS: ATLAS extiende ATT&CK al dominio AI (tácticas similares)
D3FEND ↔ ENGAGE: ENGAGE profundiza en Deceive (una categoría de D3FEND)
ATT&CK ICS: usa tácticas propias + comparte concepto con Enterprise
ATT&CK Mobile: usa tácticas propias + comparte concepto con Enterprise

Guía por rol profesional

Analista SOC (N1-N3)

Framework	Prioridad	Uso
ATT&CK Enterprise	OBLIGATORIO	Mapear alertas a técnicas, contextualizar incidentes
D3FEND	RECOMENDADO	Verificar que tienes defensas para las técnicas relevantes
Top Techniques	RECOMENDADO	Priorizar qué técnicas aprender primero
ENGAGE	OPCIONAL	Si tu SOC usa deception

Threat Hunter

Framework	Prioridad	Uso
ATT&CK Enterprise	OBLIGATORIO	Formular hipótesis de caza basadas en técnicas
Navigator	OBLIGATORIO	Visualizar cobertura y gaps
ENGAGE	RECOMENDADO	Usar honeytokens como señales de caza
CALDERA	RECOMENDADO	Validar que las detecciones funcionan

CTI Analyst

Framework	Prioridad	Uso
ATT&CK Enterprise	OBLIGATORIO	Mapear informes a técnicas
TRAM + Decider	RECOMENDADO	Automatizar y estandarizar mapping
Attack Flow	RECOMENDADO	Visualizar cadenas de ataque
Workbench	OPCIONAL	Si mantienes base de conocimiento propia

CISO / Security Manager

Framework	Prioridad	Uso
D3FEND	OBLIGATORIO	Justificar inversiones con gap analysis medible
ATT&CK Evaluations	RECOMENDADO	Evaluar/seleccionar EDR objetivamente
Navigator	RECOMENDADO	Dashboard de cobertura para board
Top Techniques	RECOMENDADO	Priorizar presupuesto

OT Security

Framework	Prioridad	Uso
ATT&CK ICS	OBLIGATORIO	Amenazas específicas a OT
ATT&CK Enterprise	RECOMENDADO	Ataques IT que pivotan a OT
D3FEND	RECOMENDADO	Defensas técnicas

AI/ML Security

Framework	Prioridad	Uso
ATLAS	OBLIGATORIO	Amenazas específicas a AI
ATT&CK Enterprise	RECOMENDADO	Ataques a infraestructura AI
D3FEND	RECOMENDADO	Defensas para sistemas AI

Guía de adopción por madurez

Nivel 1: Inicial (0-6 meses)

1. Aprender ATT&CK Enterprise (14 tácticas, top 20 técnicas)
2. Instalar ATT&CK Navigator
3. Mapear alertas del SIEM a técnicas ATT&CK
4. Crear primera capa de cobertura en Navigator

Nivel 2: Operativo (6-12 meses)

5. Implementar D3FEND para gap analysis
6. Usar Top Techniques para priorizar nuevas detecciones
7. Ejecutar Atomic Red Team para top 10 técnicas
8. Implementar canary tokens (ENGAGE básico)

Nivel 3: Avanzado (12-24 meses)

9. Desplegar CALDERA para purple teaming automatizado
10. Usar TRAM para automatizar mapping de CTI
11. Implementar ATT&CK Workbench para contenido propio
12. Usar Attack Flow para documentar incidentes
13. Si tienes AI: adoptar ATLAS
14. Si tienes OT: adoptar ATT&CK ICS

Nivel 4: Experto (24+ meses)

15. Programa de deception completo (ENGAGE avanzado)
16. Contribuir sightings al ecosistema
17. Participar en ATT&CK Evaluations como evaluador
18. Crear perfiles de adversario propios en Workbench
19. Integrar todo el ecosistema en pipeline automatizado

Resumen visual

¿QUÉ NECESITO?

"Entender cómo atacan"
  → ATT&CK Enterprise (IT)
  → ATT&CK Mobile (móvil)
  → ATT&CK ICS (industrial)
  → ATLAS (AI/ML)

"Entender cómo defenderme"
  → D3FEND (defensas técnicas)
  → ENGAGE (defensa activa)

"Visualizar y priorizar"
  → Navigator (heatmaps)
  → Top Techniques (ranking)
  → Attack Flow (secuencias)

"Mapear amenazas"
  → TRAM (automático)
  → Decider (guiado)

"Validar defensas"
  → CALDERA (emulación)
  → Evaluations (benchmark EDR)

"Personalizar"
  → Workbench (base propia)

Conclusión

El ecosistema MITRE es extenso pero no necesitas todo desde el día uno. ATT&CK Enterprise + Navigator + D3FEND cubren el 80% de las necesidades de un equipo de seguridad. Los demás frameworks se adoptan según el dominio (ICS, Mobile, AI) y la madurez (CALDERA, Workbench, ENGAGE). La clave es empezar por ATT&CK y expandir orgánicamente.

Esta serie de 39 artículos ha cubierto los 6 frameworks, las 14 tácticas Enterprise, las herramientas del ecosistema, y cómo usarlos en la práctica. Los enlaces a cada artículo están en la pillar page del cluster.

Fuentes y referencias

MITRE ATT&CK: attack.mitre.org
MITRE D3FEND: d3fend.mitre.org
MITRE ATLAS: atlas.mitre.org
MITRE ENGAGE: engage.mitre.org
Center for Threat-Informed Defense: ctid.mitre-engenuity.org
MITRE Engenuity: ATT&CK Evaluations