seguridad mitre threat intel

MITRE ATT&CK: el mapa del crimen que todo profesional de seguridad debería conocer

Si trabajas en SOC, threat intel, blue team o red team y aún no conoces MITRE ATT&CK, estás respondiendo incidentes sin saber cómo piensa el atacante. Eso se arregla hoy.

📅 30 mar 2026 ⏱ 8 min de lectura Byron Lainez

En ciberseguridad hay frameworks que son bonitos en papel y nadie usa en la vida real. Y luego está MITRE ATT&CK — que usan los equipos de threat intelligence de Microsoft, CrowdStrike, Mandiant y básicamente cualquier SOC que se tome en serio su trabajo.

La diferencia es que ATT&CK no es teoría. Es una base de datos viva de cómo atacan los adversarios reales, construida a partir de incidentes reales documentados. Si quieres entender al atacante, primero necesitas hablar su idioma.

La analogía: el manual del ladrón profesional

Imagina que eres detective y quieres atrapar a ladrones de bancos. Tienes dos opciones:

🔍 Opción A — Sin MITRE

Llegas al banco robado, ves que falta dinero, y tratas de adivinar cómo entraron. Cada robo lo investigas desde cero. No sabes si van a volver, ni qué van a intentar después.

🗺️ Opción B — Con MITRE

Tienes un catálogo detallado de cómo operan los grupos de ladrones más peligrosos del mundo. Sabes que el Grupo A siempre entra por el sótano, deshabilita las cámaras antes de actuar, y siempre ataca un viernes. Cuando ves las señales, sabes exactamente qué va a pasar después.

Eso es MITRE ATT&CK para ciberseguridad: el catálogo de cómo operan los atacantes reales, paso a paso.

¿Qué es MITRE ATT&CK exactamente?

MITRE es una organización sin fines de lucro que trabaja con el gobierno de EE.UU. en investigación de seguridad. En 2013 empezaron a documentar las técnicas que usaban los atacantes reales en incidentes reales. Hoy, esa base de datos se llama ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) y tiene más de 600 técnicas documentadas.

El framework se organiza en una matriz: las columnas son tácticas (el objetivo del atacante en esa fase) y las filas son técnicas (cómo lo consigue).

TA0043
Reconnaissance
43 técnicas
TA0042
Resource Development
8 técnicas
TA0001
Initial Access
10 técnicas
TA0002
Execution
14 técnicas
TA0003
Persistence
20 técnicas
TA0004
Privilege Escalation
14 técnicas
TA0005
Defense Evasion
43 técnicas
TA0006
Credential Access
17 técnicas
TA0007
Discovery
32 técnicas
TA0008
Lateral Movement
9 técnicas
TA0009
Collection
17 técnicas
TA0011
Command & Control
18 técnicas
TA0010
Exfiltration
9 técnicas
TA0040
Impact
14 técnicas

Cada táctica responde a la pregunta "¿qué quiere lograr el atacante ahora?" y cada técnica responde "¿cómo lo está haciendo?"

Un ataque real traducido a MITRE ATT&CK

Así se ve un ataque de ransomware típico cuando lo mapeas al framework. En lugar de "nos hackearon", tienes exactamente qué pasó en cada fase:

🎯 Ataque de ransomware — mapeado a ATT&CK
Paso 1
El atacante envía un email con un Excel malicioso al área de contabilidad.
→ T1566.001 · Phishing: Spearphishing Attachment (Initial Access)
Paso 2
El Excel ejecuta una macro que descarga un payload de internet.
→ T1059.005 · Command & Scripting: Visual Basic (Execution)
Paso 3
El malware se registra en el inicio de Windows para sobrevivir reinicios.
→ T1547.001 · Boot or Logon Autostart: Registry Run Keys (Persistence)
Paso 4
Roba las credenciales de la memoria RAM del sistema.
→ T1003.001 · OS Credential Dumping: LSASS Memory (Credential Access)
Paso 5
Usa esas credenciales para moverse a otros equipos de la red.
→ T1021.002 · Remote Services: SMB/Windows Admin Shares (Lateral Movement)
Paso 6
Cifra todos los archivos y deja la nota de rescate.
→ T1486 · Data Encrypted for Impact (Impact)

Cuando documentas incidentes así, dejas de decir "nos hackearon" y empiezas a decir "el adversario usó T1566 para el acceso inicial y T1003 para escalar privilegios". Eso le dice a tu equipo exactamente qué buscar y cómo defenderse.

¿Por qué deberías aprenderlo si trabajas en seguridad?

SOC Analyst
Triaje más rápido
Cuando ves una alerta de EDR, el ID de técnica ATT&CK te dice exactamente qué está pasando y qué revisar a continuación. Sin ATT&CK, investigas a ciegas.
Threat Intelligence
Lenguaje común
Todos los reportes de inteligencia serios (Mandiant, CrowdStrike, CISA) usan IDs ATT&CK. Sin conocerlo, lees los reportes a medias.
Blue Team
Detecciones basadas en comportamiento
Construir reglas de detección por técnica ATT&CK es más efectivo que buscar firmas de malware. Los atacantes cambian herramientas, pero las técnicas se repiten.
Red Team / Pentester
Simular adversarios reales
Los ejercicios de adversary emulation usan ATT&CK para simular grupos APT específicos. Es el estándar para engagements serios.
💡 Por qué importa en LATAM específicamente
Las herramientas que usamos en la región — CrowdStrike, SentinelOne, Sophos — todas mapean sus detecciones a ATT&CK. Cuando ves una alerta en el dashboard y dice T1055 - Process Injection, estás viendo ATT&CK. Si no sabes qué significa, estás perdiendo contexto en cada alerta del día.

Las 3 capas que necesitas entender

MITRE ATT&CK
├── Tácticas (14 en total)          ← El "qué quiere lograr"
│   └── TA0001: Initial Access
│   └── TA0002: Execution
│   └── ... (12 más)
│
├── Técnicas (~200)                 ← El "cómo lo hace"
│   └── T1566: Phishing
│   └── T1059: Command & Scripting
│   └── ...
│
└── Sub-técnicas (~400)             ← El detalle específico
    └── T1566.001: Spearphishing Attachment
    └── T1566.002: Spearphishing Link
    └── ...

No necesitas memorizar las 600+ técnicas. Necesitas entender la estructura y saber dónde buscar. Con el tiempo, las más comunes se te van a quedar solas — porque las verás en alertas reales todos los días.

Cómo empezar sin abrumarte

✅ Plan de 3 pasos
Paso 1 — Aprende las 14 tácticas. Solo los nombres y el objetivo de cada una. Con eso ya tienes el mapa general.

Paso 2 — Estudia las técnicas más comunes. T1566 (Phishing), T1059 (Scripts), T1003 (Credential Dumping), T1486 (Ransomware). Las verás en el 80% de los incidentes reales.

Paso 3 — Mapea un incidente real. Toma cualquier reporte de threat intel (los de CISA son públicos) y trata de identificar las técnicas ATT&CK. Eso vale más que cualquier curso.

El recurso que construí para practicarlo

Aprender ATT&CK de memoria leyendo la documentación oficial es un camino lento y aburrido. Por eso construí MITRE ATT&CK Learning: una plataforma para estudiar las tácticas y técnicas con flashcards y modo quiz, en español, de forma interactiva.

La idea es la misma que con las guías de certificaciones: apréndes haciendo, no leyendo. Repasas las técnicas, las clasificas, y el modo quiz te fuerza a asociar nombres con descripciones reales.

🔗 Recurso
mitre-attack-learning.byronlainez.click — Gratis, sin registro, en español.

Conclusión

MITRE ATT&CK no es un certificación ni un examen. Es el lenguaje que usa la industria para hablar de cómo atacan los adversarios. Si trabajas en ciberseguridad y no lo conoces, estás en la misma situación que un médico que no sabe anatomía: puedes trabajar, pero siempre vas a tener puntos ciegos.

Lo bueno es que tampoco necesitas un año para aprenderlo. Con las 14 tácticas claras y las técnicas más comunes internalizadas, ya puedes leer reportes de inteligencia, entender alertas de tu EDR y tener conversaciones mucho más precisas con tu equipo.

⚠️ La única trampa
ATT&CK se actualiza constantemente — MITRE añade técnicas nuevas con cada versión. No lo trates como algo que "terminas de aprender". Es una referencia viva que vas a consultar toda tu carrera.