Ir al contenido
Detección y Respuesta

¿Qué es MITRE ATT&CK?

MITRE ATT&CK es una base de conocimiento abierta y gratuita que cataloga las tácticas y técnicas que los atacantes reales usan en ataques cibernéticos, con base en observaciones del mundo real. Funciona como un mapa del comportamiento del adversario: en lugar de describir amenazas de forma vaga, nombra cada paso de un ataque, lo que permite medir si su defensa cubre lo que los atacantes de verdad hacen.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo se organiza el MITRE ATT&CK

El marco ordena el comportamiento del atacante en una matriz que se lee de izquierda a derecha, desde el primer movimiento hasta el impacto final.

1

Tácticas: el objetivo del atacante

14 tácticas que responden por qué actúa el atacante, desde el reconocimiento inicial hasta el impacto final. Ejemplos: acceso inicial, movimiento lateral, exfiltración.

2

Técnicas: cómo lo logra

Más de 200 técnicas que describen el método concreto detrás de cada táctica, como el phishing para el acceso inicial o el robo de una credencial para moverse.

3

Subtécnicas y procedimientos: el detalle real

Variaciones específicas y ejemplos reales de cómo grupos de ataque conocidos ejecutaron cada técnica.

4

La matriz: el mapa completo

Todo se arma en una cuadrícula que se lee de la izquierda (primer movimiento) a la derecha (impacto): el retrato de un ataque entero.

Fuente: MITRE (attack.mitre.org).

Las fases de un ataque, en el lenguaje del ATT&CK

  • Reconocimiento y entrada El atacante estudia el objetivo y busca la primera puerta: un correo de phishing, una credencial filtrada, una falla expuesta. (Reconocimiento, desarrollo de recursos, acceso inicial.)
  • Ejecución y persistencia Ejecuta el código malicioso y se asegura de seguir ahí incluso tras un reinicio, creando accesos ocultos. (Ejecución, persistencia, escalada de privilegios.)
  • Evasión y robo de credenciales Se esconde de las defensas y captura contraseñas y claves para hacerse pasar por un usuario legítimo. (Evasión de defensas, acceso a credenciales.)
  • Descubrimiento y movimiento lateral Mapea la red por dentro y salta de un sistema a otro, buscando lo que tiene valor. (Descubrimiento, movimiento lateral.)
  • Recolección, control y exfiltración Reúne los datos, mantiene un canal de comando con el atacante y envía la información afuera. (Recolección, comando y control, exfiltración.)
  • Impacto El golpe final: cifrar los datos (ransomware), borrar, defraudar o detener la operación. (Impacto.)

Por qué esto importa para su defensa

14 tácticas
describen el ciclo completo de un ataque en MITRE ATT&CK (MITRE)
$ 4,44 M
es el costo promedio de una filtración de datos (IBM 2025)
11 días
es el tiempo típico que un intruso pasa inadvertido en la red (Mandiant 2025)

Hablar de amenazas de forma vaga ('protegemos contra los hackers') no se puede medir. MITRE ATT&CK da un mapa compartido y basado en evidencia, para que una empresa pueda hacer una pregunta concreta: ¿mi defensa detecta estos comportamientos específicos? Eso importa porque una filtración de datos cuesta, en promedio, $ 4,44 millones (IBM, Cost of a Data Breach 2025) y el intruso pasa, típicamente, 11 días inadvertido en la red (Mandiant, M-Trends 2025). El valor del ATT&CK es convertir 'espero que estemos cubiertos' en 'estos son los comportamientos que detectamos, y estas las brechas que no'. Equipos y herramientas de seguridad de todo el mundo mapean su detección al ATT&CK justamente por eso.

Cómo usar el MITRE ATT&CK en la práctica

No necesita dominar el marco. Lo que convierte al ATT&CK en protección real es:

  1. Mapear la defensa contra comportamientos realesEn lugar de confiar en la promesa de un producto, verificar qué técnicas del ATT&CK su defensa realmente detecta.
  2. Encontrar las brechasLas técnicas que nadie cubre son justamente por donde entra el próximo ataque.
  3. Hablar un lenguaje comúnCuando el equipo interno, el proveedor y el seguro usan el mismo mapa, un incidente se describe sin ambigüedad.
  4. Priorizar por lo que lo amenazaEnfocarse en las técnicas que los grupos que atacan su sector realmente utilizan, no en todas a la vez.
  5. Probar de verdadEjercicios que simulan técnicas reales del ATT&CK muestran si la detección funciona antes del ataque real.

En la práctica

La pregunta que responde el ATT&CK: si un intruso usara la técnica X, ¿alguien en su empresa lo vería? Un mapa sin quien lo lea sigue siendo solo un mapa.

Cómo usa Zamak el MITRE ATT&CK

Zamak Technologies orienta la detección y la respuesta por el mapa del ATT&CK, para que la defensa se mida contra el comportamiento real de los atacantes, no contra una lista genérica. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde están las brechas. Forma parte de la Ciberseguridad y de la Inteligencia de Amenazas del Método Zamak.

Preguntas frecuentes sobre MITRE ATT&CK

¿Qué significa la sigla ATT&CK?
ATT&CK viene de Adversarial Tactics, Techniques and Common Knowledge (tácticas, técnicas y conocimiento común sobre adversarios). Es una base mantenida por MITRE, una organización sin fines de lucro, abierta y gratuita.
¿Cuál es la diferencia entre táctica y técnica en el ATT&CK?
La táctica es el objetivo del atacante (por qué actúa): por ejemplo, obtener acceso inicial. La técnica es el método (cómo lo logra): por ejemplo, un correo de phishing. Una táctica reúne varias técnicas posibles.
¿El MITRE ATT&CK es una herramienta que instalo?
No. Es una base de conocimiento, un mapa de referencia. Las herramientas de seguridad (como EDR, MDR y XDR) y los equipos usan ese mapa para organizar la detección y describir ataques. Usted se beneficia de él a través de quien opera su defensa.
¿Cuál es la diferencia entre MITRE ATT&CK y un antivirus?
El antivirus es una protección; el ATT&CK es el mapa que ayuda a medir si la protección cubre lo que los atacantes hacen. Uno no reemplaza al otro: el ATT&CK vuelve verificable la defensa.
¿Una empresa pequeña debe preocuparse por el MITRE ATT&CK?
Una empresa pequeña no necesita dominar el ATT&CK, pero gana cuando la defensa que contrata está guiada por él. Los ataques automatizados usan las mismas técnicas catalogadas, sin importar el tamaño del objetivo.
¿Cómo ayuda el MITRE ATT&CK después de un ataque?
Da un lenguaje preciso para reconstruir lo que ocurrió: qué técnicas usó el intruso, en qué orden y dónde falló la defensa. Eso acelera la respuesta y cierra la brecha correcta, en lugar de solo apagar el incendio.