Aviso ético: el contenido de este módulo tiene una finalidad exclusivamente formativa, dentro de un programa de respuesta a incidentes (DFIR) y ciberinteligencia (CTI) defensiva. El framework MITRE ATT&CK se utiliza aquí para clasificar y comunicar comportamiento adversario ya observado, nunca como manual para desarrollar capacidades ofensivas. Cualquier actividad de red-teaming, emulación de adversarios o pruebas de intrusión debe realizarse únicamente sobre sistemas propios o con autorización explícita y por escrito del propietario, dentro de un marco legal y contractual claro (ROE, alcance, ventana de pruebas).
Qué aprenderás
- Qué es MITRE ATT&CK y cómo se estructura su jerarquía: tácticas (TAxxxx), técnicas (Txxxx), subtécnicas (Txxxx.xxx) y procedimientos.
- Las 15 tácticas de la matriz Enterprise (versión ATT&CK v19, abril de 2026), con su ID real y ejemplos de técnicas representativas de cada una.
- El cambio estructural más importante de 2026: la división de la antigua táctica Defense Evasion (TA0005) en Stealth (TA0005) y Defense Impairment (TA0112), y por qué debes entender ambos nombres.
- La Cyber Kill Chain de Lockheed Martin (7 fases) y en qué se diferencia de la Unified Kill Chain.
- La Pirámide del Dolor de David Bianco: por qué no todos los indicadores de compromiso valen lo mismo y por qué cazar TTP es lo que más incomoda al atacante.
- A usar ATT&CK Navigator para mapear cobertura de detección y comunicar una intrusión real como cadena de técnicas.
- Los errores más comunes al aplicar ATT&CK en un caso real de respuesta a incidentes.
1. Qué es MITRE ATT&CK y por qué existe
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento pública y curada por MITRE que cataloga el comportamiento observado de adversarios reales, extraído de informes de inteligencia, investigaciones forenses e informes de proveedores de seguridad. No es un marco teórico: cada técnica documentada en ATT&CK tiene referencias a casos reales en los que un grupo de amenaza la ha utilizado. Esto lo diferencia de listas de «buenas prácticas» o de checklists de cumplimiento: ATT&CK describe lo que el adversario hace, no lo que el defensor debería hacer.
Para un analista de respuesta a incidentes, ATT&CK cumple tres funciones prácticas:
- Lenguaje común. Permite describir una intrusión con terminología estandarizada e inequívoca («el atacante ejecutó T1059.001») en lugar de descripciones ad-hoc que varían de un analista a otro.
- Cobertura de detección. Permite mapear qué técnicas puede detectar tu SIEM/EDR y cuáles son puntos ciegos, priorizando ingeniería de detección donde más falta hace.
- Correlación de campañas. Permite comparar el TTP (táctica-técnica-procedimiento) de una intrusión con los perfiles de grupos de amenaza conocidos (p. ej. APT29, FIN7, Scattered Spider) para orientar la atribución y anticipar los siguientes pasos del atacante.
ATT&CK cubre varios dominios: Enterprise (IT tradicional: Windows, Linux, macOS, cloud, redes, contenedores, identidad, SaaS), Mobile (Android/iOS) e ICS (sistemas de control industrial). En este módulo nos centramos en la matriz Enterprise, la más usada en operaciones de SOC/DFIR generalistas, en su versión v19 (publicada por MITRE el 28 de abril de 2026).
2. La jerarquía de ATT&CK: tácticas, técnicas, subtécnicas y procedimientos
ATT&CK organiza el comportamiento adversario en cuatro niveles, de lo más abstracto a lo más concreto:
- Táctica (Tactic, ID TAxxxx): el porqué. Es el objetivo táctico que persigue el atacante en un momento dado de la intrusión: por ejemplo, «quiero moverme lateralmente» (Lateral Movement, TA0008) o «quiero robar credenciales» (Credential Access, TA0006). Las tácticas son columnas fijas en la matriz Enterprise; actualmente hay 15.
- Técnica (Technique, ID Txxxx): el cómo, a un nivel general. Describe el método concreto usado para alcanzar el objetivo táctico. Por ejemplo, T1566 (Phishing) es una forma de lograr Initial Access (TA0001). Una misma técnica puede aparecer bajo más de una táctica cuando el comportamiento sirve a varios objetivos (por ejemplo, T1078 Valid Accounts aparece en Initial Access, Persistence, Privilege Escalation y Stealth).
- Subtécnica (Sub-technique, ID Txxxx.xxx): el cómo, a un nivel más granular. Por ejemplo, dentro de T1566 (Phishing) existen T1566.001 (Spearphishing Attachment), T1566.002 (Spearphishing Link) y T1566.003 (Spearphishing via Service). No todas las técnicas tienen subtécnicas.
- Procedimiento (Procedure): el qué exactamente. Es la implementación específica que un grupo de amenaza o una familia de malware concreta hace de una técnica o subtécnica. Por ejemplo, «el grupo APT29 usa el comando
certutil.exe -urlcache -fpara descargar un segundo payload» es un procedimiento observado dentro de T1105 (Ingress Tool Transfer). Los procedimientos son la evidencia empírica que sostiene cada técnica documentada; sin ellos, ATT&CK sería una taxonomía especulativa.
Regla mnemotécnica: la táctica cabe en una frase corta sin verbos técnicos («robar credenciales»); la técnica nombra un mecanismo genérico («volcado de credenciales del sistema operativo», T1003); el procedimiento incluye el comando o binario exacto ejecutado («mimikatz.exe sekurlsa::logonpasswords«).
3. Las 15 tácticas de la matriz Enterprise (ATT&CK v19)
Un cambio importante que debes conocer antes de seguir: hasta abril de 2026, la matriz Enterprise tenía 14 tácticas, y la táctica TA0005 se llamaba Defense Evasion («evasión de defensas»), agrupando más de 40 técnicas heterogéneas. MITRE consideraba que esta táctica había crecido hasta convertirse en un «cajón de sastre» que mezclaba dos objetivos adversarios distintos: por un lado, ocultarse para no ser detectado mientras las herramientas de seguridad siguen operando con normalidad; por otro, atacar directamente esas herramientas de seguridad para dejarlas ciegas o inoperativas. Con el lanzamiento de ATT&CK v19 (28 de abril de 2026), MITRE dividió Defense Evasion en dos tácticas independientes, y la matriz Enterprise pasó a tener 15 tácticas:
- Stealth (TA0005): hereda el ID original TA0005. Agrupa las técnicas de ocultación pura: ofuscación, camuflaje, inyección de procesos, manipulación de tokens de acceso, evasión de sandbox, etc. El objetivo es «parecer tráfico o proceso legítimo» sin tocar los controles de seguridad.
- Defense Impairment (TA0112): táctica nueva. Agrupa las técnicas que degradan, desactivan o socavan directamente la confianza en los mecanismos de seguridad: deshabilitar el firewall del sistema (T1686), desactivar herramientas EDR (T1685), modificar el proceso de autenticación (T1556), debilitar el cifrado (T1600), etc.
Este cambio afecta solo a la matriz Enterprise; las matrices Mobile e ICS conservan Defense Evasion sin dividir. Es importante que lo interiorices porque, en la práctica profesional, te vas a encontrar constantemente el término heredado «Defense Evasion» en informes de threat intel, documentación de SIEM/EDR, certificaciones y libros publicados antes de abril de 2026 — y debes poder traducirlo mentalmente a las dos tácticas nuevas según el caso. Dicho esto, la tabla siguiente refleja la matriz vigente (v19), con las 15 tácticas Enterprise en su orden habitual de representación, su ID real y 1-2 técnicas de ejemplo con su ID:
| ID | Táctica | Técnicas de ejemplo |
|---|---|---|
| TA0043 | Reconnaissance | T1595 Active Scanning; T1589 Gather Victim Identity Information |
| TA0042 | Resource Development | T1583 Acquire Infrastructure; T1587 Develop Capabilities |
| TA0001 | Initial Access | T1566 Phishing; T1190 Exploit Public-Facing Application |
| TA0002 | Execution | T1059 Command and Scripting Interpreter; T1203 Exploitation for Client Execution |
| TA0003 | Persistence | T1547 Boot or Logon Autostart Execution; T1098 Account Manipulation |
| TA0004 | Privilege Escalation | T1548 Abuse Elevation Control Mechanism; T1055 Process Injection |
| TA0005 | Stealth (hasta abril 2026: parte de Defense Evasion) | T1027 Obfuscated Files or Information; T1036 Masquerading |
| TA0112 | Defense Impairment (nueva en v19, antes parte de Defense Evasion) | T1685 Disable or Modify Tools; T1556 Modify Authentication Process |
| TA0006 | Credential Access | T1003 OS Credential Dumping; T1110 Brute Force |
| TA0007 | Discovery | T1087 Account Discovery; T1083 File and Directory Discovery |
| TA0008 | Lateral Movement | T1021 Remote Services; T1570 Lateral Tool Transfer |
| TA0009 | Collection | T1114 Email Collection; T1123 Audio Capture |
| TA0011 | Command and Control | T1071 Application Layer Protocol; T1105 Ingress Tool Transfer |
| TA0010 | Exfiltration | T1041 Exfiltration Over C2 Channel; T1567 Exfiltration Over Web Service |
| TA0040 | Impact | T1486 Data Encrypted for Impact; T1490 Inhibit System Recovery |
Fíjate en el orden: las tácticas no representan necesariamente una secuencia cronológica estricta dentro de un incidente. Reconnaissance y Resource Development suelen preceder al compromiso (a menudo se solapan con lo que otros marcos llaman «pre-ATT&CK»), pero a partir de Initial Access el atacante puede saltar de una táctica a otra y volver atrás repetidamente: por ejemplo, puede hacer Discovery, luego Credential Access, volver a Discovery con las nuevas credenciales, y solo entonces intentar Lateral Movement. La matriz es una taxonomía de objetivos, no un diagrama de flujo obligatorio.
4. La Cyber Kill Chain de Lockheed Martin
Antes de ATT&CK, el modelo de referencia para describir una intrusión era la Cyber Kill Chain, publicada por Lockheed Martin en 2011 y adaptada del concepto militar de «kill chain» (cadena que hay que romper para neutralizar un ataque). Define 7 fases secuenciales:
- Reconnaissance — el atacante investiga al objetivo (OSINT, escaneo, identificación de empleados y tecnologías).
- Weaponization — se empareja un exploit con una carga maliciosa (por ejemplo, un PDF armado con un exploit y un RAT).
- Delivery — el artefacto malicioso llega a la víctima (correo de phishing, USB, descarga drive-by).
- Exploitation — se ejecuta el código malicioso aprovechando una vulnerabilidad o la interacción del usuario.
- Installation — el atacante instala una puerta trasera o mecanismo de persistencia.
- Command and Control (C2) — se establece un canal de comunicación con la infraestructura del atacante.
- Actions on Objectives — el atacante ejecuta su objetivo final: exfiltración de datos, sabotaje, movimiento lateral hacia otros activos, etc.
La Kill Chain tiene un valor didáctico enorme (es la forma más simple de explicar «cómo se rompe un ataque» a una audiencia no técnica) y sigue citándose en informes ejecutivos. Pero tiene limitaciones operativas serias para un analista SOC/DFIR moderno: es lineal (asume progresión fase a fase, cuando el atacante real itera y retrocede constantemente, sobre todo en compromisos cloud o con movimiento lateral extenso), está pensada para el perímetro tradicional y el malware «clásico» entregado por correo o web (encaja peor con ataques basados en identidad, abuso de APIs cloud o living-off-the-land), y tiene poca granularidad: 7 fases frente a las docenas de técnicas y cientos de subtécnicas de ATT&CK, insuficiente para documentar con precisión «qué comando ejecutó el atacante». Por eso, en la práctica actual, la Kill Chain se usa como narrativa de alto nivel para gerencia, mientras que ATT&CK se usa como taxonomía operativa para el análisis técnico.
La Unified Kill Chain (UKC)
La Unified Kill Chain, propuesta por Paul Pols en 2017, nace precisamente para resolver las limitaciones de la Kill Chain original combinándola con el nivel de detalle de ATT&CK. La UKC define 18 fases agrupadas en tres etapas conceptuales:
- In (fases 1-8): desde Reconnaissance hasta Persistence — todo lo necesario para obtener y mantener un punto de apoyo inicial en la red objetivo.
- Through (fases 9-14): desde Privilege Escalation/Defense Evasion hasta Lateral Movement — la fase de expansión dentro del entorno comprometido, incluyendo Pivoting, Discovery y Collection.
- Out (fases 15-18): desde Exfiltration hasta Impact/Objectives — la consecución final del objetivo del atacante.
La UKC es explícitamente no lineal: reconoce que un atacante puede recorrer las fases «Through» en bucle muchas veces (comprometer un host, escalar, moverse lateralmente, descubrir, volver a escalar, moverse de nuevo) antes de llegar a «Out». Esto la hace mucho más fiel a cómo ocurre una intrusión real, especialmente en compromisos de red empresarial prolongados. Para el respondedor, el valor práctico de la UKC es que ofrece una estructura intermedia entre la simplicidad narrativa de la Kill Chain (7 fases, fácil de explicar a dirección) y la granularidad de ATT&CK (cientos de técnicas, ideal para el análisis técnico pero difícil de resumir en una diapositiva).
5. La Pirámide del Dolor de David Bianco
Publicada originalmente en 2013 en el blog de David Bianco (Enterprise Detection & Response), la Pirámide del Dolor (Pyramid of Pain) es un modelo que clasifica los tipos de indicadores que un defensor puede usar para detectar o bloquear a un atacante, ordenados según cuánto le cuesta al atacante cambiar ese indicador cuando el defensor lo detecta y actúa sobre él. Cuanto más arriba en la pirámide, más «dolor» le causas al adversario al detectarlo, porque cambiarlo le exige más tiempo, dinero y reingeniería de su operación.
| Nivel (de abajo a arriba) | Tipo de indicador | Coste para el atacante de evadirlo |
|---|---|---|
| 1 | Hash values (hashes de archivo, p. ej. SHA-256 de un binario) | Trivial: recompilar o modificar un byte cambia el hash al instante. |
| 2 | IP addresses | Fácil: rotar a otra IP, usar un proxy o infraestructura de terceros. |
| 3 | Domain names | Sencillo pero algo más costoso: registrar un nuevo dominio, esperar propagación DNS. |
| 4 | Network/Host Artifacts (User-Agent, patrones de tráfico, rutas de registro, nombres de mutex) | Molesto: requiere modificar el comportamiento de la herramienta o el malware. |
| 5 | Tools (la herramienta o familia de malware en sí) | Difícil: el atacante debe sustituir o reescribir su herramienta completa. |
| 6 | TTPs (tácticas, técnicas y procedimientos) | Muy alto («dolor máximo»): cambiar un TTP obliga al atacante a rediseñar su metodología operativa, reentrenar a su equipo o reconstruir su tradecraft desde cero. |
La idea central de Bianco es que muchos programas de detección invierten la mayor parte de su esfuerzo en los niveles inferiores de la pirámide (listas de IPs y hashes maliciosos, feeds de IOC), que son baratos de consumir pero que el atacante evade en segundos. Cazar en los niveles superiores —detectar el patrón de comportamiento en lugar del artefacto concreto— es más difícil de construir y mantener (requiere reglas de detección basadas en comportamiento, no en firmas), pero obliga al atacante a un coste de reingeniería mucho mayor. Esta es precisamente la razón por la que ATT&CK, al catalogar TTP en lugar de IOC, es la herramienta natural para construir detecciones situadas en la cima de la pirámide: una regla que detecta «volcado de LSASS mediante acceso directo a memoria de proceso» (T1003.001) sigue siendo válida aunque el atacante cambie de herramienta, de hash y de infraestructura C2.
6. ATT&CK Navigator
ATT&CK Navigator es la herramienta web oficial de MITRE (código abierto, disponible también autoalojada) para visualizar y anotar la matriz ATT&CK en forma de «capas» (layers). Cada capa es un archivo JSON que asigna colores, puntuaciones o comentarios a técnicas concretas de la matriz. Los usos más habituales en un equipo de DFIR/SOC son:
- Mapa de cobertura de detección: colorear en verde las técnicas para las que existe una regla de detección validada, en amarillo las que tienen cobertura parcial (por ejemplo, solo logging pero sin alerta) y en rojo las que no tienen ninguna visibilidad. Esto permite priorizar ingeniería de detección con datos, no con intuición.
- Mapa de una intrusión concreta: tras un incidente, marcar exactamente qué técnicas empleó el atacante, en qué orden aproximado, para incluir la capa en el informe final y compararla con intrusiones anteriores.
- Perfil de un grupo de amenaza: superponer el conjunto de técnicas históricamente asociado a un grupo (p. ej. APT29) sobre tu propia cobertura de detección, para saber si estás preparado frente a ese actor concreto.
- Comparación entre capas: Navigator permite operaciones de resta/intersección entre capas JSON, útil para responder preguntas como «¿qué técnicas usa este grupo que yo no detecto?».
Navigator no ejecuta nada contra tu infraestructura: es una capa de visualización y comunicación. La detección real la implementa tu SIEM, tu EDR o tus reglas Sigma/YARA; Navigator sirve para documentar y comunicar esa cobertura de forma visual y estandarizada, algo que un documento Excel ad-hoc nunca logrará con el mismo nivel de reconocimiento inmediato para cualquier analista que conozca ATT&CK.
7. Ejemplo práctico: mapear una intrusión real a una cadena de técnicas
Supongamos el siguiente escenario, típico de un caso de ransomware con doble extorsión, reconstruido a partir de los artefactos forenses recogidos durante la respuesta:
- El atacante envía un correo de phishing con un enlace a un documento de Office malicioso. La víctima lo abre y habilita macros. → Initial Access (TA0001) — T1566.002 Spearphishing Link, seguido de Execution (TA0002) — T1204.002 Malicious File y T1059.005 Visual Basic (la macro ejecuta VBA).
- La macro descarga y ejecuta un segundo payload usando
certutil.exe. → Command and Control (TA0011) — T1105 Ingress Tool Transfer, con la técnica de camuflaje Stealth (TA0005) — T1218.010 Regsvr32 o T1027 Obfuscated Files or Information si el payload está ofuscado. - El payload instala persistencia mediante una tarea programada. → Persistence (TA0003) — T1053.005 Scheduled Task.
- El atacante ejecuta Mimikatz para volcar credenciales de LSASS. → Credential Access (TA0006) — T1003.001 LSASS Memory.
- Con las credenciales obtenidas, enumera controladores de dominio y usuarios privilegiados. → Discovery (TA0007) — T1087.002 Domain Account y T1018 Remote System Discovery.
- Se desplaza a un servidor de ficheros usando RDP con una cuenta de administrador comprometida. → Lateral Movement (TA0008) — T1021.001 Remote Desktop Protocol.
- Antes de cifrar, desactiva Windows Defender y borra los registros de eventos de seguridad. → Defense Impairment (TA0112) — T1562.001 Disable or Modify Tools (nota: en v19 esta subtécnica sigue viva bajo el paraguas de T1685/T1562, revisa siempre la versión exacta en tu Navigator) y T1070.001 Clear Windows Event Logs.
- Exfiltra archivos sensibles a un servicio de almacenamiento cloud de terceros antes de cifrar (doble extorsión). → Collection (TA0009) — T1560 Archive Collected Data, seguido de Exfiltration (TA0010) — T1567.002 Exfiltration to Cloud Storage.
- Finalmente despliega el ransomware en todos los hosts alcanzables. → Impact (TA0040) — T1486 Data Encrypted for Impact, a menudo acompañado de T1490 Inhibit System Recovery (borrado de shadow copies).
Esta cadena reconstruida es lo que en el informe de respuesta a incidentes se documenta como «cadena de ataque» o «attack narrative»: cada paso lleva asociado un ID de técnica verificable, no una descripción libre. Esto separa un informe DFIR de calidad SANS/GCIH de una simple cronología de eventos.
8. Laboratorio: mapear un escenario con ATT&CK Navigator
Objetivo: construir una capa JSON de Navigator que represente el escenario del apartado 7, cargarla en Navigator (online en mitre-attack.github.io/attack-navigator o autoalojado) y usarla para razonar sobre cobertura de detección.
Pasos:
- Abre ATT&CK Navigator y crea una nueva capa Enterprise (verifica que seleccionas la versión de matriz correcta, v19 o posterior, para que aparezcan Stealth y Defense Impairment como tácticas separadas).
- Para cada técnica identificada en el apartado 7, selecciónala en la matriz y asígnale un color (por ejemplo, rojo = «observada en este incidente») y añade un comentario con el artefacto forense que la sustenta (p. ej. «T1003.001 — confirmado por volcado de proceso lsass.exe capturado en memoria, hash de Mimikatz coincide con firma pública»).
- Exporta la capa como JSON y guárdala junto al informe de incidente.
- Superpón sobre la misma matriz una segunda capa con tu cobertura de detección actual (verde = detectado y alertado, amarillo = logueado sin alerta, gris = sin visibilidad) y usa la función de comparación de capas de Navigator para identificar qué técnicas del incidente real cayeron en zona gris — esas son tus prioridades inmediatas de ingeniería de detección.
Plantilla mínima de capa JSON para arrancar el ejercicio (rellena techniques con los IDs del apartado 7):
{
"name": "Incidente-Ransomware-Ejemplo",
"versions": { "attack": "19", "navigator": "5.1.0", "layer": "4.5" },
"domain": "enterprise-attack",
"description": "Cadena de técnicas observadas en el incidente de ransomware de ejemplo (Módulo 3)",
"techniques": [
{ "techniqueID": "T1566.002", "color": "#e60000", "comment": "Vector de entrada: enlace de spearphishing" },
{ "techniqueID": "T1059.005", "color": "#e60000", "comment": "Ejecución de macro VBA" },
{ "techniqueID": "T1105", "color": "#e60000", "comment": "certutil.exe descarga segundo payload" },
{ "techniqueID": "T1053.005", "color": "#e60000", "comment": "Persistencia vía tarea programada" },
{ "techniqueID": "T1003.001", "color": "#e60000", "comment": "Volcado de LSASS con Mimikatz" },
{ "techniqueID": "T1087.002", "color": "#e60000", "comment": "Enumeración de cuentas de dominio" },
{ "techniqueID": "T1021.001", "color": "#e60000", "comment": "Movimiento lateral vía RDP" },
{ "techniqueID": "T1070.001", "color": "#e60000", "comment": "Borrado de logs de eventos de seguridad" },
{ "techniqueID": "T1567.002", "color": "#e60000", "comment": "Exfiltración a almacenamiento cloud de terceros" },
{ "techniqueID": "T1486", "color": "#e60000", "comment": "Cifrado final de impacto (ransomware)" }
],
"gradient": { "colors": ["#ffffff", "#e60000"], "minValue": 0, "maxValue": 1 },
"legendItems": [
{ "label": "Observado en el incidente", "color": "#e60000" }
]
}
9. Errores comunes al aplicar ATT&CK
- Confundir táctica con técnica. Decir «el atacante hizo Lateral Movement» no es un mapeo completo: Lateral Movement (TA0008) es el objetivo, no el método. El mapeo correcto exige indicar la técnica concreta, por ejemplo T1021.001 (RDP) o T1021.002 (SMB/Windows Admin Shares). Un informe que solo cita tácticas es tan poco útil como un diagnóstico médico que solo dice «el paciente está enfermo».
- Confundir IOC con TTP. Un hash, una IP o un dominio son indicadores de compromiso (IOC): describen esta instancia concreta del ataque y caducan rápido (recuerda la Pirámide del Dolor). Un TTP describe el patrón de comportamiento reutilizable. Documentar «el malware se comunicaba con 185.x.x.x» sirve para bloqueo inmediato, pero documentar «DNS sobre HTTPS para C2 con dominios generados algorítmicamente» (T1071.004, T1568.002) es lo que permite construir una detección duradera.
- Forzar un mapeo cuando la evidencia es insuficiente. Si no tienes artefactos forenses que sustenten una técnica concreta, no la incluyas en la capa Navigator «porque probablemente pasó». El mapeo debe ser trazable a evidencia, igual que cualquier otra afirmación en un informe DFIR.
- Ignorar que las técnicas y tácticas cambian de versión en versión. Cualquier informe, regla o capa Navigator anterior a abril de 2026 que use «Defense Evasion (TA0005)» sigue siendo válida como referencia histórica, pero al mapear un incidente nuevo debes usar Stealth (TA0005) o Defense Impairment (TA0112) según corresponda, sin mezclar terminología antigua y nueva en el mismo informe.
- Tratar ATT&CK como checklist de cumplimiento. ATT&CK no certifica que estés «seguro»; documenta comportamiento adversario conocido. La ausencia de detección para una técnica no significa que no puedas ser comprometido por ella mañana con una variante nueva.
- Sobrecargar el informe con subtécnicas irrelevantes. En un informe ejecutivo, la táctica y la técnica principal (Txxxx) suelen bastar; reserva las subtécnicas (Txxxx.xxx) para el anexo técnico.
10. Ejercicio
Se te entrega el siguiente resumen de artefactos recogidos durante una respuesta a incidente en un entorno Windows/Active Directory:
«El endpoint EDR registró la ejecución de
powershell.exe -enc <base64>lanzada desdeoutlook.execomo proceso padre. Poco después se observó una conexión saliente HTTPS hacia un dominio recién registrado, con beacons periódicos cada 60 segundos. Un análisis de memoria posterior reveló inyección de código enexplorer.exe. Al día siguiente, logs de autenticación muestran el uso de la misma cuenta de servicio desde tres hosts distintos en un intervalo de 4 minutos, seguido de la creación de una nueva cuenta con privilegios de administrador de dominio. Finalmente, se identificó tráfico SMB anómalo hacia un servidor de backups fuera del horario habitual, con un volumen de transferencia saliente de 40 GB.»
Tareas:
- Identifica al menos 7 técnicas ATT&CK (con su ID Txxxx, y subtécnica si aplica) que expliquen los artefactos descritos, indicando a qué táctica (ID TAxxxx) pertenece cada una.
- Señala explícitamente cuáles de los datos del párrafo son IOC (efímeros) y cuáles son TTP (patrón de comportamiento), justificando la diferencia según la Pirámide del Dolor.
- Construye una capa JSON de Navigator (usando la plantilla del apartado 8 como base) con tu mapeo.
- Redacta en dos frases el objetivo probable del atacante en este momento del incidente, apoyándote únicamente en las tácticas identificadas (no en las técnicas ni en los IOC).
Preguntas frecuentes
¿Cuál es la diferencia real entre una táctica y una técnica en ATT&CK?
La táctica (ID TAxxxx) es el objetivo del atacante en un momento dado —el «por qué»— y hay un número fijo y reducido de ellas (15 en la matriz Enterprise v19). La técnica (ID Txxxx) es el método concreto para lograrlo —el «cómo»— y hay más de 200, con cientos de subtécnicas. Una misma técnica puede servir a varias tácticas: T1078 (Valid Accounts) aparece en Initial Access, Persistence, Privilege Escalation y Stealth, porque una cuenta válida robada sirve a los cuatro propósitos según el momento de la intrusión.
¿Por qué se dividió Defense Evasion en Stealth y Defense Impairment?
Porque, tras años de crecimiento, Defense Evasion (TA0005) había acumulado más de 40 técnicas que en realidad perseguían dos objetivos adversarios distintos y no siempre compatibles entre sí: unas buscaban pasar desapercibido sin tocar los controles de seguridad (ahora Stealth, TA0005), y otras buscaban atacar y degradar activamente esos controles de seguridad (ahora Defense Impairment, TA0112, nueva en ATT&CK v19, publicado el 28 de abril de 2026). MITRE consideró que mezclarlas bajo una sola táctica dificultaba tanto el análisis como el diseño de detecciones específicas. El cambio afecta solo a la matriz Enterprise; Mobile e ICS conservan Defense Evasion.
¿Un IOC (indicador de compromiso) es lo mismo que un TTP?
No, y confundirlos es uno de los errores más comunes en respuesta a incidentes. Un IOC (hash, IP, dominio) describe una instancia concreta y efímera del ataque: el atacante puede cambiarlo en minutos. Un TTP describe el patrón de comportamiento repetible del adversario, mucho más costoso de cambiar. Según la Pirámide del Dolor de David Bianco, detectar TTP causa mucho más «dolor» operativo al atacante que bloquear un IOC.
¿Necesito usar ATT&CK Navigator obligatoriamente, o puedo mapear técnicas en un documento normal?
No es obligatorio —puedes anotar IDs de técnica en cualquier documento—, pero Navigator aporta dos ventajas: una capa JSON es un formato estándar interoperable entre herramientas (SIEM, plataformas de threat intel, otros equipos), y permite comparaciones automáticas entre capas (intrusión real vs. cobertura de detección) tediosas de hacer a mano.
¿La Cyber Kill Chain ha quedado obsoleta frente a ATT&CK?
No exactamente: cumplen funciones distintas. La Kill Chain (7 fases) sigue siendo útil como narrativa simplificada para audiencias no técnicas. ATT&CK (y su variante intermedia, la Unified Kill Chain) ofrece el nivel de granularidad que necesita un analista técnico para documentar exactamente qué hizo el atacante. En la práctica profesional se usan de forma complementaria, no excluyente.
«ATT&CK is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. […] Because ATT&CK is an accurate and detailed representation of the behaviors an adversary utilizes to achieve their objective, [it] can be used as a common language for offense and defense in the fields of cyber threat intelligence, security operations, threat hunting, and more.»
