¿Qué es MITRE ATT&CK?
MITRE ATT&CK es una base de conocimiento abierta y gratuita que cataloga las tácticas y técnicas que los atacantes reales usan en ataques cibernéticos, con base en observaciones del mundo real. Funciona como un mapa del comportamiento del adversario: en lugar de describir amenazas de forma vaga, nombra cada paso de un ataque, lo que permite medir si su defensa cubre lo que los atacantes de verdad hacen.
Cómo se organiza el MITRE ATT&CK
El marco ordena el comportamiento del atacante en una matriz que se lee de izquierda a derecha, desde el primer movimiento hasta el impacto final.
Tácticas: el objetivo del atacante
14 tácticas que responden por qué actúa el atacante, desde el reconocimiento inicial hasta el impacto final. Ejemplos: acceso inicial, movimiento lateral, exfiltración.
Técnicas: cómo lo logra
Más de 200 técnicas que describen el método concreto detrás de cada táctica, como el phishing para el acceso inicial o el robo de una credencial para moverse.
Subtécnicas y procedimientos: el detalle real
Variaciones específicas y ejemplos reales de cómo grupos de ataque conocidos ejecutaron cada técnica.
La matriz: el mapa completo
Todo se arma en una cuadrícula que se lee de la izquierda (primer movimiento) a la derecha (impacto): el retrato de un ataque entero.
Fuente: MITRE (attack.mitre.org).
Las fases de un ataque, en el lenguaje del ATT&CK
- Reconocimiento y entrada El atacante estudia el objetivo y busca la primera puerta: un correo de phishing, una credencial filtrada, una falla expuesta. (Reconocimiento, desarrollo de recursos, acceso inicial.)
- Ejecución y persistencia Ejecuta el código malicioso y se asegura de seguir ahí incluso tras un reinicio, creando accesos ocultos. (Ejecución, persistencia, escalada de privilegios.)
- Evasión y robo de credenciales Se esconde de las defensas y captura contraseñas y claves para hacerse pasar por un usuario legítimo. (Evasión de defensas, acceso a credenciales.)
- Descubrimiento y movimiento lateral Mapea la red por dentro y salta de un sistema a otro, buscando lo que tiene valor. (Descubrimiento, movimiento lateral.)
- Recolección, control y exfiltración Reúne los datos, mantiene un canal de comando con el atacante y envía la información afuera. (Recolección, comando y control, exfiltración.)
- Impacto El golpe final: cifrar los datos (ransomware), borrar, defraudar o detener la operación. (Impacto.)
Por qué esto importa para su defensa
Hablar de amenazas de forma vaga ('protegemos contra los hackers') no se puede medir. MITRE ATT&CK da un mapa compartido y basado en evidencia, para que una empresa pueda hacer una pregunta concreta: ¿mi defensa detecta estos comportamientos específicos? Eso importa porque una filtración de datos cuesta, en promedio, $ 4,44 millones (IBM, Cost of a Data Breach 2025) y el intruso pasa, típicamente, 11 días inadvertido en la red (Mandiant, M-Trends 2025). El valor del ATT&CK es convertir 'espero que estemos cubiertos' en 'estos son los comportamientos que detectamos, y estas las brechas que no'. Equipos y herramientas de seguridad de todo el mundo mapean su detección al ATT&CK justamente por eso.
Cómo usar el MITRE ATT&CK en la práctica
No necesita dominar el marco. Lo que convierte al ATT&CK en protección real es:
- Mapear la defensa contra comportamientos realesEn lugar de confiar en la promesa de un producto, verificar qué técnicas del ATT&CK su defensa realmente detecta.
- Encontrar las brechasLas técnicas que nadie cubre son justamente por donde entra el próximo ataque.
- Hablar un lenguaje comúnCuando el equipo interno, el proveedor y el seguro usan el mismo mapa, un incidente se describe sin ambigüedad.
- Priorizar por lo que lo amenazaEnfocarse en las técnicas que los grupos que atacan su sector realmente utilizan, no en todas a la vez.
- Probar de verdadEjercicios que simulan técnicas reales del ATT&CK muestran si la detección funciona antes del ataque real.
En la práctica
La pregunta que responde el ATT&CK: si un intruso usara la técnica X, ¿alguien en su empresa lo vería? Un mapa sin quien lo lea sigue siendo solo un mapa.
Cómo usa Zamak el MITRE ATT&CK
Zamak Technologies orienta la detección y la respuesta por el mapa del ATT&CK, para que la defensa se mida contra el comportamiento real de los atacantes, no contra una lista genérica. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde están las brechas. Forma parte de la Ciberseguridad y de la Inteligencia de Amenazas del Método Zamak.