Black Fortress
Back to blog
May 02, 2025
7 min read

Domina al adversario: Entiende MITRE ATT&CK y fortalece tu estrategia defensiva.

Descubre qué es MITRE ATT&CK, cómo funciona y por qué es una herramienta clave para mejorar tus habilidades defensivas.

En este artículo

  1. Contexto de MITRE ATT&CK
  2. ¿Qué es MITRE ATT&CK?
  3. ¿Para qué sirve ATT&CK en el Blue Team?
  4. Ejemplo práctico: T1566.001 - Spearphishing Attachment
  5. Herramientas y recursos clave para trabajar con ATT&CK
  6. Reforzando tu estrategia

1. Contexto de MITRE ATT&CK

En el mundo de la ciberseguridad defensiva, una de las claves del éxito es entender cómo actúan los atacantes. No basta con tener herramientas de seguridad: es necesario saber qué buscan los adversarios y cómo logran sus objetivos. Ahí es donde entra en juego el marco MITRE ATT&CK. Diseñado a partir de observaciones reales, ATT&CK permite a los profesionales del Blue Team identificar, clasificar y defenderse mejor contra las técnicas utilizadas por actores maliciosos.

2. ¿Qué es MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de datos estructurada y actualizada de manera continua, que documenta tácticas, técnicas y subtécnicas utilizados por atacantes en el mundo real. Fue desarrollado por la organización MITRE como un marco abierto y accesible para ayudar a mejorar la postura de seguridad en organizaciones de todo el mundo.

Su principal valor radica en estandarizar la forma en que se describe el comportamiento de los atacantes, permitiendo una comunicación clara entre equipos técnicos, analistas de seguridad y líderes estratégicos dentro de la organización.

El modelo se estructura en varios niveles:

  • Tácticas: Representan los objetivos estratégicos del atacante durante las distintas fases de un ataque. Ejemplos: “Initial Access”, “Persistence”, “Credential Access”, “Exfiltration”.

  • Técnicas y Subtécnicas: Métodos específicos empleados para alcanzar esas tácticas. Por ejemplo, dentro de “Credential Access” encontramos técnicas como “Brute Force” o “Credential Dumping”. Algunas técnicas tienen subtécnicas que ofrecen un mayor nivel de detalle.

  • Mitigaciones y Detecciones: ATT&CK también ofrece sugerencias sobre cómo prevenir o detectar cada técnica.

  • Grupos y Software: Incluye información sobre grupos de amenazas conocidos y herramientas/malware asociados a cada técnica.

  • Campañas: ATT&CK también documenta campañas específicas llevadas a cabo por grupos conocidos. Estas campañas incluyen las técnicas y malware empleados, objetivos y sectores afectados. Esta sección es especialmente útil para entender patrones de ataque recurrentes, ver cómo evolucionan las tácticas y contextualizar mejor los riesgos para una industria específica. (Aparte de ser interesante conocer cómo se desarrollan estas operaciones, que a menudo parecen sacadas de una película)

Existen diferentes matrices que se adaptan al entorno de operación:

  • Enterprise ATT&CK: La más utilizada, cubre entornos Windows, Linux, macOS, y tecnologías relacionadas.
  • Mobile ATT&CK: Para amenazas que afectan dispositivos móviles Android e iOS.
  • ICS ATT&CK: Enfocada en sistemas de control industrial y SCADA.

Este enfoque multidimensional permite que ATT&CK sea utilizado como una herramienta fundamental no solo para defensa técnica, sino también para análisis de amenazas, evaluación de riesgos y planificación estratégica de seguridad.

3. ¿Para qué sirve ATT&CK en el Blue Team?

ATT&CK permite estructurar el trabajo de defensa en función de cómo piensan los atacantes. Algunas aplicaciones prácticas incluyen:

  • Gap analysis: evaluar qué técnicas pueden detectarse y cuáles no. Por ejemplo, puedes revisar si tienes detección para movimientos laterales (táctica “Lateral Movement”) como Pass-the-Hash o Remote Desktop Protocol.

  • Diseño de detecciones: crear reglas de alertas específicas basadas en técnicas ATT&CK. Por ejemplo, una regla Sigma para detectar el uso sospechoso de cmd.exe o powershell.exe con argumentos codificados.

  • Simulación de amenazas: usando frameworks como Caldera, puedes emular comportamientos adversarios reales y ver si tu infraestructura es capaz de reconocer los eventos generados.

  • Comunicar riesgos: ATT&CK permite traducir amenazas técnicas en lenguaje comprensible para otras áreas de la organización. Por ejemplo, explicar a un responsable de seguridad que hay baja cobertura en la táctica “Defense Evasion” puede ayudar a justificar nuevas inversiones.

  • Apoyo al análisis forense: ATT&CK puede ser utilizado como marco de referencia para categorizar hallazgos durante una investigación post-incidente. Al identificar técnicas usadas en un compromiso, es posible contextualizar rápidamente qué fase del ataque ocurrió, qué tácticas se aplicaron y qué grupos suelen emplearlas, lo que agiliza la toma de decisiones y mejora los informes de respuesta.

  • Detección de modus operandi de grupos adversarios: Al analizar incidentes pasados y técnicas observadas, ATT&CK permite vincular patrones con grupos de amenazas conocidos, lo que facilita anticipar futuras acciones, establecer hipótesis y preparar medidas de defensa basadas en comportamientos específicos del adversario.

En resumen, ATT&CK ofrece una forma estandarizada de pensar la defensa: desde la perspectiva del atacante. Y eso lo convierte en una herramienta esencial para cualquier analista o ingeniero de seguridad defensiva.

4. Ejemplo práctico: T1566.001 - Spearphishing Attachment

  • Táctica: Initial Access
  • Técnica: T1566 - Phishing
  • Subtécnica: T1566.001 - Spearphishing Attachment

Esta técnica se basa en enviar correos electrónicos diseñados para parecer legítimos, que incluyen archivos adjuntos maliciosos (como documentos de Office, PDFs o archivos comprimidos). El objetivo es engañar al destinatario para que abra el archivo y active contenido oculto, como macros o scripts, que permiten al atacante ejecutar malware en el sistema de la víctima.

¿Cómo detectarlo?

  • Analizar los registros del servidor de correo en busca de archivos adjuntos con extensiones inusuales o macros habilitadas.
  • Detectar procesos iniciados por aplicaciones de Office (como Word → PowerShell).
  • Correlacionar eventos de descarga con procesos sospechosos posteriores.
  • Utilizar reglas Sigma para detectar ejecución de scripts desde ubicaciones temporales.

¿Cómo prevenirlo?

  • Aplicar políticas que bloqueen macros no firmadas en documentos de Office.
  • Habilitar protección contra archivos adjuntos sospechosos en el gateway de correo.
  • Capacitar a los usuarios sobre ingeniería social y verificación de correos sospechosos.
  • Usar EDRs que puedan interceptar y bloquear comportamientos comunes de spearphishing.

5. Herramientas y recursos clave para trabajar con ATT&CK

El ecosistema alrededor de MITRE ATT&CK se ha enriquecido con herramientas y recursos diseñados para facilitar su adopción. Aquí presento algunas de las más importantes:

  • ATT&CK Navigator: Herramienta web oficial de MITRE que permite visualizar técnicas de ATT&CK en una matriz interactiva. Puedes marcar detecciones o priorizar técnicas, es ideal para evaluaciones periódicas y para compartir información de seguridad entre equipos.

  • Atomic Red Team: Un repositorio de pruebas unitarias (atomics) desarrollado por Red Canary. Permite ejecutar técnicas ATT&CK de forma controlada para validar si tus herramientas de detección responden correctamente. Es compatible con Windows, Linux y macOS, y se puede automatizar fácilmente.

  • CALDERA: Framework desarrollado por MITRE que automatiza la emulación de adversarios en entornos controlados. Ejecuta técnicas ATT&CK reales. Ideal para testear el comportamiento de tus defensas frente a ataques complejos.

  • ATT&CK Workbench: Herramienta que permite crear, extender y personalizar entradas de ATT&CK, perfecto para organizaciones que necesitan adaptar el marco a sus propias necesidades.

6. Reforzando tu estrategia

MITRE ATT&CK se ha consolidado como uno de los marcos más completos y versátiles en el ámbito de la ciberseguridad defensiva. Su enfoque basado en comportamientos reales lo convierte en una herramienta práctica y poderosa tanto para analistas y equipos de respuesta a incidentes, como para profesionales de ciberinteligencia.

Aprender a usar ATT&CK no solo mejora tu capacidad para detectar y responder a amenazas, sino que también te ayuda a comprender mejor cómo piensan los atacantes, organizar tus conocimientos de forma estructurada y comunicarte con otros profesionales del sector usando un lenguaje común. Comprender ATT&CK te permitirá pensar como un atacante, mejorar tus habilidades defensivas y aportar mayor valor en cualquier equipo de ciberseguridad.

Prev
Master the adversary: Understand MITRE ATT&CK and strengthen your defensive strategy
Next
AES, the King of symmetric encryption.