📄 mitre att&ck
Base de conocimientos en tecnicas y tacticas
MITRE ATT&CK es como un mapa del comportamiento de los atacantes.
No se enfoca en qué herramientas usan, sino en cómo actúan, paso a paso, durante un ataque real.
Piensa en ello como un manual universal que describe:
- Qué quiere lograr un atacante (tácticas)
- Cómo lo hace exactamente (técnicas)
- Variantes más específicas (subtécnicas)
- Ejemplos reales de uso por grupos de amenazas (procedimientos)
Es una base de conocimiento pública que documenta:
- Tácticas (objetivos del atacante)
- Técnicas (cómo logra esos objetivos)
- Ejemplos reales de ataques
- Cómo detectar y mitigar esas acciones
Se usa en todo el mundo para:
- Threat intelligence
- Detección y monitoreo
- Red teaming
- Evaluación de defensas
- Compartir información entre equipos
Las 14 tácticas del marco ATT&CK
Estas tácticas representan las fases del ataque, desde el inicio hasta el impacto final:
| Nº | Táctica | ¿Qué significa? |
|---|---|---|
| 1 | Reconocimiento | Investigar a la víctima |
| 2 | Desarrollo de recursos | Preparar infraestructura maliciosa |
| 3 | Acceso inicial | Entrar al sistema (phishing, exploits) |
| 4 | Ejecución | Correr código malicioso |
| 5 | Persistencia | Mantener acceso |
| 6 | Escalada de privilegios | Obtener más permisos |
| 7 | Evasión defensiva | Evitar ser detectado |
| 8 | Acceso a credenciales | Robar contraseñas |
| 9 | Descubrimiento | Explorar la red |
| 10 | Movimiento lateral | Moverse entre sistemas |
| 11 | Colección | Reunir datos |
| 12 | Comando y control | Comunicarse con el atacante |
| 13 | Exfiltración | Robar datos |
| 14 | Impacto | Dañar, cifrar, borrar |
Por qué es tan útil?
Porque estandariza el lenguaje.
En vez de decir:
“Hubo un correo sospechoso”
Puedes decir:
“Detectamos T1566.001 Spearphishing Attachment”
Y cualquier analista del mundo entiende exactamente lo que pasó.
Además:
- Ayuda a mapear ataques reales
- Permite identificar brechas de seguridad
- Facilita crear reglas de detección
- Sirve para simular ataques realistas
Herramienta clave: ATT&CK Navigator
Una herramienta visual para:
- Pintar qué técnicas detectas
- Ver tus brechas
- Mapear actores o campañas
- Crear reportes visuales
Porque es útil este framework?
Como analista SOC:
- Mapear alertas a técnicas ATT&CK
- Crear detecciones basadas en comportamiento
Como threat hunter:
- Buscar actividad relacionada con técnicas específicas
Como red team:
- Planear ataques realistas basados en TTPs reales
Como defensor:
- Evaluar qué técnicas puedes detectar y cuáles no
MITRE ATT&CK es:
Un mapa detallado del comportamiento de los atacantes, usado para entender, detectar y defender mejor contra ciberataques.
Organiza todo en:
- 14 tácticas (objetivos del atacante)
- Cientos de técnicas (cómo lo logra)
- Ejemplos reales
- Guías de detección y mitigación
🛡️ MITRE ATT&CK
Un mapa detallado del comportamiento de los atacantes — tácticas, técnicas y procedimientos documentados con ejemplos reales
🗺️ Las 14 Tácticas — Mapa del Ataque
Haz clic en cualquier táctica para ver su descripción y una técnica de ejemplo.
🔺 Jerarquía TTP
¿Qué quiere lograr?
El objetivo del atacante en esa fase. Ejemplo: Acceso Inicial (TA0001)
¿Cómo lo logra?
El método específico usado. Ejemplo: Phishing (T1566)
¿Variante exacta?
Variante más granular. Ejemplo: Spearphishing Attachment (T1566.001)
¿Caso real?
Ejemplo documentado de un grupo APT. Ejemplo: APT29 usó T1566.001 contra diplomáticos
👤 ATT&CK por Rol Profesional
Analista SOC
- Mapear alertas a técnicas ATT&CK
- Crear detecciones basadas en comportamiento
- Priorizar alertas según fase del ataque
- Comunicar incidentes con lenguaje estándar
Threat Hunter
- Buscar actividad de técnicas específicas
- Proactivamente cazar TTPs conocidas de APTs
- Hipótesis basadas en el framework
- Identificar indicadores de técnicas sin alertas
Red Team
- Planear ataques basados en TTPs reales de APTs
- Simular adversarios específicos (emulation)
- Reportar hallazgos en lenguaje ATT&CK
- Validar detecciones del blue team
Defensor / Blue Team
- Evaluar qué técnicas puedes detectar
- Identificar brechas de cobertura
- Priorizar controles según riesgo
- Usar ATT&CK Navigator para visualizar estado
🔎 Identificador de Tácticas ATT&CK
Describe un escenario de ataque y sugiero las tácticas ATT&CK más probables.