¿Cuáles son las técnicas ATT&CK más usadas?

Según múltiples fuentes (Red Canary, Mandiant, CrowdStrike, MITRE): T1059.001 (PowerShell), T1566.001 (Phishing), T1003.001 (LSASS dump), T1021.002 (SMB/Admin Shares), y T1053.005 (Scheduled Task) están consistentemente en el top 10. Pero las técnicas más relevantes dependen de TU sector y amenazas.

¿Cómo funciona el proyecto Top Techniques?

El Center for Threat-Informed Defense analizó datos de CTI de múltiples fuentes para crear una metodología de scoring que combina: frecuencia de uso (cuántos grupos la usan), impacto (qué habilita), y detectabilidad (data sources disponibles). El resultado es un ranking que ayuda a priorizar qué detectar primero.

IntermedioMITRE ATT&CKpriorizacióndetecciónherramientas

Top ATT&CK Techniques: Priorizar Detecciones por Datos Reales

Guía del proyecto Top ATT&CK Techniques del Center for Threat-Informed Defense: cómo identificar las técnicas más usadas por adversarios reales y priorizar detecciones basándose en datos, no en intuición.

MalwareIntel Research·27 de mayo de 2026·4 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 34

No puedes detectar 800 técnicas a la vez: prioriza por las que realmente te atacan

Con ~800 técnicas+sub-técnicas en ATT&CK, ningún SOC puede construir detecciones para todas simultáneamente. El proyecto "Top ATT&CK Techniques" del Center for Threat-Informed Defense proporciona una metodología basada en datos para identificar las técnicas más importantes y priorizarlas.

Top 15 técnicas por frecuencia (múltiples fuentes, 2024-2025)

Rank	Técnica	ID	Frecuencia	Tácticas
1	PowerShell	T1059.001	Muy alta	Execution
2	Windows Command Shell	T1059.003	Muy alta	Execution
3	Phishing: Attachment	T1566.001	Alta	Initial Access
4	OS Credential Dumping: LSASS	T1003.001	Alta	Credential Access
5	Scheduled Task	T1053.005	Alta	Execution, Persistence
6	Registry Run Keys	T1547.001	Alta	Persistence
7	Process Injection	T1055	Alta	Defense Evasion, Priv Esc
8	Ingress Tool Transfer	T1105	Alta	C2
9	SMB/Admin Shares	T1021.002	Alta	Lateral Movement
10	Obfuscated Files	T1027	Alta	Defense Evasion
11	Valid Accounts: Domain	T1078.002	Media-Alta	Multiple
12	Remote Desktop Protocol	T1021.001	Media-Alta	Lateral Movement
13	System Information Discovery	T1082	Media	Discovery
14	File and Directory Discovery	T1083	Media	Discovery
15	Application Layer Protocol: Web	T1071.001	Media-Alta	C2

Fuentes: Red Canary Threat Detection Report 2025, Mandiant M-Trends, CrowdStrike Global Threat Report, Elastic Global Threat Report.

Metodología de priorización

Scoring por técnica

Priority Score = (Frecuencia × 0.4) + (Impacto × 0.3) + (Detectabilidad × 0.3)

Frecuencia:     ¿Cuántos grupos/campañas usan esta técnica? (datos CTI)
Impacto:        ¿Qué habilita? (credential access > discovery)
Detectabilidad: ¿Tenemos data sources para detectarla? (Sysmon, EDR, logs)

Ejemplo de scoring

T1003.001 (LSASS dump):
  Frecuencia:     0.8 (usada por >50 grupos)
  Impacto:        1.0 (habilita lateral movement completo)
  Detectabilidad: 0.9 (Sysmon Event 10, EDR, Credential Guard)
  Score: 0.8×0.4 + 1.0×0.3 + 0.9×0.3 = 0.32 + 0.30 + 0.27 = 0.89

T1082 (System Info Discovery):
  Frecuencia:     0.9 (casi todo malware hace reconocimiento)
  Impacto:        0.2 (no habilita directamente siguiente fase)
  Detectabilidad: 0.3 (difícil distinguir de uso legítimo)
  Score: 0.9×0.4 + 0.2×0.3 + 0.3×0.3 = 0.36 + 0.06 + 0.09 = 0.51

→ T1003.001 prioridad MUCHO más alta que T1082
  a pesar de que T1082 es más frecuente

Personalizar el ranking para tu organización

El top global es un punto de partida. Personalizarlo:

Filtrar por amenazas relevantes: si eres sector financiero, FIN7 y Cl0p pesan más que APT28
Filtrar por plataforma: si solo tienes Windows, ignorar técnicas Linux
Ajustar por cobertura existente: si ya detectas T1059.001 al 100%, bajar su prioridad
Considerar data sources disponibles: si no tienes Sysmon, las técnicas que dependen de él bajan

Herramienta: Top Techniques Calculator

El Center for Threat-Informed Defense publica una herramienta web para calcular tus propias prioridades:

https://top-attack-techniques.mitre-engenuity.org/

Input: seleccionar sectores, regiones, tipos de amenaza
Output: ranking personalizado de técnicas con scoring
Export: Navigator layer con las top-N técnicas coloreadas

Plan de implementación por fases

Fase 1 (Mes 1): Top 5 técnicas
  T1059.001, T1566.001, T1003.001, T1053.005, T1547.001
  → Script Block Logging, email sandbox, Sysmon Event 10,
    Event 4698, Sysmon Event 12/13

Fase 2 (Mes 2-3): Top 10
  + T1055, T1105, T1021.002, T1027, T1078
  → Sysmon Event 8, proxy monitoring, Event 7045/4624,
    entropy analysis, MFA + anomaly detection

Fase 3 (Mes 4-6): Top 20
  + T1021.001, T1082, T1071.001, T1070, T1036
  → RDP monitoring, NDR/beacon detection, log integrity,
    process path validation

Fase 4 (Ongoing): Amenaza-específico
  Técnicas de TUS amenazas relevantes que no están en top 20

Conclusión

Priorizar por datos reales (frecuencia + impacto + detectabilidad) es más efectivo que intentar cubrir todo. Las top 5 técnicas cubren la mayoría de los ataques. El Top Techniques Calculator personaliza el ranking para tu contexto. Implementar en fases de 5 técnicas permite progreso medible. PENDIENTE: ampliar con caso práctico completo de priorización por sector.

Fuentes y referencias

Center for Threat-Informed Defense: Top ATT&CK Techniques
Red Canary: Threat Detection Report 2025
Mandiant: M-Trends 2025