MITRE ATT&CK: análisis del paper que creó el framework

Contexto histórico

Antes de ATT&CK, la industria de seguridad describía las amenazas de forma fragmentada. Cada vendor usaba su propia taxonomía. Kaspersky llamaba a un grupo "Fancy Bear". CrowdStrike lo llamaba "Sofacy". FireEye lo llamaba "APT28". Microsoft lo llamaba "STRONTIUM". No había un lenguaje común para describir qué hacían los atacantes una vez dentro de la red.

La Cyber Kill Chain de Lockheed Martin (2011) fue un primer intento de estandarización, pero era demasiado abstracta: "Command and Control" no te dice qué protocolo usa el atacante. "Exploitation" no te dice qué técnica específica emplea. Los defensores necesitaban granularidad.

MITRE, una organización sin ánimo de lucro que opera centros de investigación federales en Estados Unidos, comenzó a trabajar en ATT&CK en 2013 como un proyecto interno. El objetivo era documentar las técnicas que observaban en ejercicios de red teaming reales contra redes empresariales de Windows.

Contribución técnica

El problema que resolvió

Antes de ATT&CK, los informes de CTI describían ataques en prosa: "el grupo usó spear phishing para obtener acceso inicial, luego se movió lateralmente usando credenciales robadas". Esta descripción es útil para humanos pero inútil para automatización, comparación y métricas.

ATT&CK codificó las técnicas de los atacantes en una taxonomía estructurada con identificadores únicos (T1566 = Phishing, T1003 = OS Credential Dumping) organizadas en tácticas (categorías de objetivos: Initial Access, Persistence, Lateral Movement, etc.).

Decisiones de diseño clave

Basado en observación, no en teoría. Cada técnica en ATT&CK está respaldada por al menos un caso documentado de uso real por un grupo de amenazas. No son ataques hipotéticos: son técnicas que alguien ha usado en producción.

Taxonomía plana, no jerárquica. A diferencia de otros frameworks que intentan clasificar ataques en árboles complejos, ATT&CK usa una matriz 2D simple: tácticas (columnas) x técnicas (filas). Esta simplicidad fue clave para la adopción.

Agnóstico de herramientas. ATT&CK describe lo que hace el atacante (technique), no qué herramienta usa. T1055 (Process Injection) puede ejecutarse con Cobalt Strike, Metasploit o un script PowerShell custom. La técnica es la misma independientemente de la implementación.

Open y mantenido. ATT&CK es gratuito, abierto y se actualiza semestralmente con contribuciones de la comunidad. No es un estándar de comité: es una base de conocimiento viva.

La matriz como interfaz

La decisión de presentar ATT&CK como una matriz visual fue transformadora. Un analista puede ver de un vistazo qué tácticas cubre un grupo APT, dónde tiene gaps su detección, y qué técnicas son más prevalentes en su sector. La matriz convirtió datos complejos de CTI en algo que un CISO puede entender en 30 segundos.

Análisis del paper

El paper formal ("MITRE ATT&CK: Design and Philosophy", 2018) documenta las decisiones que convirtieron un proyecto interno en el estándar de la industria:

Scope deliberadamente acotado

ATT&CK empezó cubriendo solo post-compromise en Windows Enterprise. No intentó cubrir todos los vectores, todas las plataformas ni todas las fases. Este scope reducido permitió profundidad: cada técnica tiene procedimientos documentados, detecciones sugeridas y mitigaciones.

La expansión a otras plataformas (Linux, macOS, Cloud, Mobile, ICS) llegó después, cuando la taxonomía core estaba madura.

El concepto de sub-técnicas

La versión original tenía técnicas monolíticas como T1059 (Command and Scripting Interpreter). Con el tiempo, se añadieron sub-técnicas (T1059.001 PowerShell, T1059.003 Windows Command Shell) para dar granularidad sin explotar la complejidad de la matriz principal.

Groups y Software como entidades separadas

ATT&CK no solo documenta técnicas: mapea qué grupos (G0007 = APT28) usan qué técnicas, y qué software (S0154 = Cobalt Strike) implementa qué técnicas. Estas relaciones trianguladas (grupo → software → técnica) son lo que hace a ATT&CK útil para threat intelligence, no solo para detección.

Relevancia en 2026

ATT&CK es hoy el estándar de facto para:

• Detection engineering: las reglas de detección se mapean a técnicas ATT&CK
• Threat intelligence: los informes CTI usan IDs de ATT&CK como lingua franca
• Red teaming: los ejercicios se planifican y reportan usando la matriz
• Evaluación de vendors: MITRE Engenuity evalúa EDRs contra técnicas ATT&CK
• Compliance: frameworks como NIST y NIS2 referencian ATT&CK
• SOC metrics: cobertura de detección se mide en % de técnicas ATT&CK cubiertas

Limitaciones reconocidas

• Sesgo hacia APTs documentados: técnicas usadas por criminales menos sofisticados pueden estar subrepresentadas
• Complejidad creciente: 200+ técnicas y 600+ sub-técnicas son difíciles de operacionalizar
• No prioriza: todas las técnicas parecen igualmente importantes. Frameworks como MITRE Top ATT&CK Techniques intentan abordar esto
• Post-compromise focus: la cobertura de vectores iniciales (phishing, exploit) es menos granular que las técnicas post-acceso

Aplicación práctica

Para SOC analysts

Mapea tus reglas de detección existentes a técnicas ATT&CK. Identifica gaps. Prioriza las técnicas más usadas por los grupos que te amenazan (filtra por sector y región en la web de ATT&CK).

Para CTI analysts

Usa ATT&CK como taxonomía base para tus informes. En lugar de "el grupo usó inyección de procesos", escribe "T1055.012 Process Hollowing". Permite correlación automática con otros informes.

Para managers

Usa la cobertura de ATT&CK como KPI de tu programa de detección. "Cubrimos el 65% de las técnicas de Initial Access y el 40% de Lateral Movement" es más accionable que "tenemos 500 reglas de detección".

Papers relacionados

• Cyber Kill Chain (Lockheed Martin, 2011): el predecesor conceptual
• Diamond Model (Caltagirone et al., 2013): modelo complementario para análisis de intrusiones
• D3FEND (MITRE, 2021): la contraparte defensiva de ATT&CK

Veredicto

ATT&CK no es solo un paper: es la infraestructura intelectual sobre la que se construye la ciberseguridad moderna. Leer el paper original te da perspectiva que la documentación web no ofrece: por qué se tomaron ciertas decisiones, qué se descartó deliberadamente, y cuál era la visión original. Si trabajas en seguridad y no conoces ATT&CK en profundidad, tienes un gap fundamental.