Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad defensiva

MITRE ATT&CK

MITRE ATT&CK es una base de conocimiento gratuita y usada en todo el mundo que recopila tácticas y técnicas reales de los atacantes, organizadas en 14 tácticas que describen las fases de un ciberataque, desde el reconocimiento hasta el impacto. Los defensores la usan como lenguaje común para describir, detectar y responder a la forma en que actúan los atacantes.

Autor
Unihackers Team
Tiempo de lectura
3 min de lectura
Última actualización

MITRE ATT&CK es lo más parecido que tiene la ciberseguridad a un diccionario compartido del comportamiento de los atacantes. En lugar de describir las amenazas con términos vagos, cataloga las tácticas y técnicas concretas que los adversarios reales han usado en intrusiones reales, y le da a cada una un ID estable. Esa estructura permite que un analista de amenazas en Madrid, un ingeniero de SOC en Berlín y un respondedor de incidentes en Milán describan el mismo ataque de la misma forma. Puedes explorar la matriz completa en MITRE ATT&CK home.

Las 14 tácticas

ATT&CK se organiza en torno a 14 tácticas, que representan las fases de una intrusión en el orden en que un atacante suele recorrerlas. Van desde el reconocimiento y el desarrollo de recursos, pasando por el acceso inicial, la ejecución, la persistencia, la escalada de privilegios y la evasión de defensas, hasta el acceso a credenciales, el descubrimiento, el movimiento lateral, la recopilación, el comando y control, la exfiltración y, por último, el impacto.

Una táctica responde a por qué hace algo el atacante. Dentro de cada táctica hay muchas técnicas que responden al cómo. La persistencia se puede lograr con un web shell (T1505.003); la evasión de defensas puede usar inyección de procesos (T1055) o archivos ofuscados (T1027); el acceso a credenciales suele implicar volcado de credenciales del sistema (T1003). Estos IDs son los mismos en todas partes, y eso es lo que hace tan duradero al framework.

Un lenguaje común para el trabajo de SOC e inteligencia

El verdadero poder de ATT&CK es la coordinación. Un equipo de threat hunting formula una hipótesis ("un atacante volcaría credenciales y luego se movería lateralmente por SMB"), la mapea a T1003 y a técnicas de movimiento lateral, y se pone a buscar. Los analistas de SOC etiquetan sus reglas de detección con IDs de técnica para exponer puntos ciegos. Los informes de inteligencia perfilan a los grupos adversarios por las técnicas que prefieren. Como todos apuntan a los mismos IDs, las alertas dispersas se ensamblan en una sola historia legible.

ATT&CK en la era de la IA

ATT&CK ya se usa para describir ataques con IA, no solo los humanos. Cuando Anthropic frenó una operación de espionaje que abusaba de Claude Code, su equipo mapeó 13.873 acciones distintas impulsadas por IA sobre la matriz ATT&CK para mostrar exactamente dónde operaba el agente, desde el reconocimiento hasta el acceso a credenciales y la exfiltración. Analizamos ese caso y lo que significa para los defensores en cómo usan la IA los hackers. La lección es que el framework escala: ya sea el operador una persona o un agente autónomo, las tácticas son las mismas, y también lo es el valor de un lenguaje común para nombrarlas.

En el Bootcamp

Cómo enseñamos MITRE ATT&CK

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre MITRE ATT&CK en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 8: Operaciones de Seguridad Avanzadas

Temas relacionados que dominarás:Respuesta a IncidentesDFIRThreat HuntingVolatility
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido