TTPs (Tácticas, Técnicas y Procedimientos)

Las TTPs, abreviatura de tácticas, técnicas y procedimientos, son la forma en que la industria de la seguridad describe cómo opera realmente un atacante. En lugar de reducir una amenaza a un único hash de archivo o dirección IP, las TTPs capturan el comportamiento por capas: el objetivo que persigue el adversario, el método general que emplea y los pasos precisos que da para lograrlo. Esta visión por capas es la columna vertebral de la inteligencia de amenazas moderna y el lenguaje que usan los defensores para comparar incidentes y construir detecciones duraderas.

La jerarquía de táctica, técnica y procedimiento

Las tres letras describen tres alturas de la misma actividad, desde el objetivo abstracto hasta las pulsaciones de teclado concretas:

Un ejemplo concreto hace que la jerarquía encaje. Imagina que un intruso quiere adentrarse más en una red. La táctica es el acceso a credenciales. La técnica que elige es el volcado de credenciales del sistema operativo (T1003). El procedimiento es la receta literal: sube una copia renombrada de una herramienta de volcado de credenciales, la ejecuta contra el proceso LSASS para extraer hashes y guarda el resultado en un archivo temporal antes de exfiltrarlo. Cambia la herramienta o el nombre del archivo y el procedimiento se mueve, pero la técnica y la táctica siguen siendo las mismas. Esa estabilidad es justo lo que hace que las TTPs sean más valiosas para los defensores que los indicadores desechables.

Cómo usan los defensores las TTPs

Asignar la actividad observada a las TTPs es el trabajo diario del threat hunting y de la ingeniería de detección. El marco dominante para esto es MITRE ATT&CK, que asigna a cada técnica un identificador estable (como T1003) para que los equipos hablen un idioma común. Cuando un analista etiqueta un incidente con identificadores de ATT&CK, cualquiera en la industria entiende de inmediato qué pasó, lo compara con intrusiones anteriores y comprueba si sus propios sensores lo habrían detectado.

Táctica (objetivo)

↓se concreta en

Técnica T1003

↓se realiza con

Procedimiento (pasos exactos)

Las TTPs también se sitúan cerca de la cima de la llamada pirámide del dolor: cuanto más arriba se construye una defensa en la pirámide, más le cuesta al atacante esquivarla. Rotar una IP o recompilar un binario es trivial, pero cambiar cómo opera de verdad un grupo, sus técnicas y procedimientos, es lento y caro. Por eso las detecciones cimentadas en TTPs envejecen mucho mejor que las basadas en firmas.

Cuando las TTPs adelantan al marco

Un ejemplo reciente muy ilustrativo viene de las intrusiones asistidas por IA. Cuando Anthropic investigó un ataque que abusaba de sus propios modelos, su equipo mapeó el comportamiento del adversario a MITRE ATT&CK y descubrió que la mayoría de los pasos encajaban con identificadores de técnica existentes, desde el reconocimiento hasta el acceso a credenciales y la exfiltración. Pero una capacidad no tenía ningún identificador de técnica: la orquestación autónoma del ataque por parte del propio modelo, encadenando los pasos con mínima intervención humana. Esa brecha, documentada en nuestro análisis de cómo usan la IA los hackers, demuestra que los catálogos de TTPs son documentos vivos. A medida que los adversarios adoptan nuevos métodos, el marco tiene que crecer para describirlos.

La lección se mantiene tanto si defiendes como si atacas: los indicadores te dicen qué tocó un atacante, pero las TTPs te dicen cómo piensa. Aprende a leer el comportamiento en las tres alturas y dejarás de perseguir los hashes de ayer para empezar a anticipar los movimientos de mañana.