MITRE ATT&CK
Base de conocimiento global y framework que cataloga las tácticas, técnicas y procedimientos (TTPs) utilizados por adversarios reales en ciberataques. Organizado en matrices por plataforma (Enterprise, Mobile, ICS), es utilizado por equipos de seguridad, analistas forenses y peritos para clasificar ataques, identificar brechas defensivas y documentar incidentes de forma estandarizada.
MITRE ATT&CK
Las intrusiones cloud aumentaron un 136% en la primera mitad de 2025 respecto a todo 2024, y las intrusiones interactivas crecieron un 27% interanual (CrowdStrike, 2025). Ante esta explosión de técnicas de ataque, el framework MITRE ATT&CK se ha consolidado como la referencia universal para clasificar y documentar ciberataques: su base de conocimiento cataloga más de 800 técnicas y subtécnicas distribuidas en 14 tácticas, extraídas de observaciones de ataques reales. Más de 391 publicaciones científicas han analizado el framework (ACM Computing Surveys, 2025), y la evaluación Enterprise 2025 contó con 11 proveedores de ciberseguridad de primer nivel, confirmando su posición como estándar de facto de la industria.
Definición técnica
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento de acceso público mantenida por la corporación sin ánimo de lucro MITRE. Documenta el comportamiento de adversarios reales basándose en observaciones del mundo real, organizando la información en una estructura jerárquica de tácticas, técnicas y subtécnicas.
Estructura del framework:
MITRE ATT&CK
├── Matrices
│ ├── Enterprise (Windows, Linux, macOS, Cloud, Containers, Network)
│ ├── Mobile (Android, iOS)
│ └── ICS (Industrial Control Systems)
│
├── Tácticas (14 en Enterprise) → El "POR QUÉ" del ataque
│ └── Técnicas (201+) → El "CÓMO" del ataque
│ └── Subtécnicas (424+) → Variación específica
│
├── Grupos (APT) → Quién ejecuta el ataque
├── Software → Herramientas y malware utilizadas
├── Mitigaciones → Contramedidas recomendadas
└── Detecciones → Cómo identificar cada técnicaLas 14 tácticas de la matriz Enterprise (en orden de ejecución de un ataque):
| ID | Táctica | Descripción | Ejemplo de técnica |
|---|---|---|---|
| TA0043 | Reconnaissance | Recopilación de información sobre el objetivo | Búsqueda en redes sociales |
| TA0042 | Resource Development | Preparación de infraestructura de ataque | Registro de dominios falsos |
| TA0001 | Initial Access | Punto de entrada al sistema | Spear phishing con adjunto |
| TA0002 | Execution | Ejecución de código malicioso | PowerShell, scripting |
| TA0003 | Persistence | Mantener presencia tras reinicios | Tarea programada, servicio |
| TA0004 | Privilege Escalation | Obtener permisos superiores | Explotación de vulnerabilidad local |
| TA0005 | Defense Evasion | Evitar detección por defensas | Desactivar antivirus, ofuscación |
| TA0006 | Credential Access | Obtener credenciales válidas | Keylogging, dumping de hashes |
| TA0007 | Discovery | Mapear la red y sistemas internos | Escaneo de red, enumeración AD |
| TA0008 | Lateral Movement | Moverse entre sistemas | RDP, PsExec, SMB |
| TA0009 | Collection | Recopilar datos de interés | Captura de pantalla, keylogger |
| TA0011 | Command and Control | Comunicación con infraestructura del atacante | HTTPS C2, DNS tunneling |
| TA0010 | Exfiltration | Extraer datos del entorno | Exfiltración vía cloud storage |
| TA0040 | Impact | Causar daño o disrumpir operaciones | Cifrado ransomware, wiper |
Versión actual
MITRE ATT&CK v18.1 (diciembre 2025) es la versión más reciente. El framework se actualiza periódicamente con nuevas técnicas observadas en ataques reales. El acceso es gratuito en attack.mitre.org.
Uso forense de MITRE ATT&CK
Para un perito informático forense, MITRE ATT&CK es una herramienta de clasificación y comunicación esencial:
Aplicaciones en peritaje informático:
- Clasificación del ataque: Mapear cada artefacto forense encontrado a la técnica ATT&CK correspondiente, proporcionando una taxonomía universal y comprensible
- Completitud de la investigación: Usar la matriz como checklist para verificar que no se ha omitido ninguna fase del ataque
- Comunicación en informe pericial: Utilizar nomenclatura ATT&CK (IDs de técnicas) para que otros profesionales y el tribunal comprendan exactamente qué ocurrió
- Atribución: Comparar las técnicas observadas con los grupos APT documentados en ATT&CK para sugerir posibles actores
- Evaluación de defensas: Documentar qué controles de seguridad deberían haber detectado el ataque según las detecciones recomendadas por ATT&CK
Ejemplo de mapeo forense a ATT&CK:
Artefacto forense encontrado → Técnica MITRE ATT&CK
──────────────────────────────────────────────────────────────
Email con adjunto .docm malicioso → T1566.001 (Phishing: Spearphishing Attachment)
Macro VBA ejecuta PowerShell → T1059.001 (Command and Scripting: PowerShell)
Servicio Windows creado para persistir → T1543.003 (Create or Modify System Process: Windows Service)
Mimikatz detectado en memoria → T1003.001 (OS Credential Dumping: LSASS Memory)
Conexión HTTPS a C2 externo → T1071.001 (Application Layer Protocol: Web Protocols)
Datos comprimidos en archivo .7z → T1560.001 (Archive Collected Data: Archive via Utility)
Exfiltración vía MEGA.nz → T1567.002 (Exfiltration Over Web Service: to Cloud Storage)MITRE ATT&CK Navigator
El ATT&CK Navigator es una herramienta web gratuita que permite visualizar y anotar la matriz:
Usos forenses del Navigator:
- Heat maps de cobertura: Visualizar qué técnicas detectan los controles de seguridad existentes, identificando gaps
- Mapeo de incidentes: Colorear las técnicas utilizadas en un ataque específico para el informe pericial
- Comparación de grupos: Superponer las técnicas de diferentes grupos APT para evaluar atribución
- Priorización de defensas: Identificar las técnicas más frecuentes sin cobertura defensiva
Ejemplo de anotación Navigator para incidente de ransomware:
─────────────────────────────────────────────────────────────
[Rojo] Técnicas utilizadas en el ataque (confirmadas)
[Naranja] Técnicas probables (indicios parciales)
[Verde] Técnicas detectadas y bloqueadas por defensas
[Gris] Técnicas no observadasATT&CK Navigator
El Navigator está disponible en mitre-attack.github.io/attack-navigator/ y puede instalarse localmente. Permite exportar las anotaciones en formato JSON, SVG y Excel para incluirlas en informes periciales.
Caso práctico: investigación de ransomware con mapeo ATT&CK
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Una empresa manufacturera de Sevilla sufrió un ataque de ransomware que cifró 200 servidores y 15 TB de datos. La dirección necesitaba entender cómo ocurrió el ataque para el informe a la aseguradora (póliza de ciberseguro) y la denuncia ante la Guardia Civil.
Mapeo forense a MITRE ATT&CK:
| Fase | Artefacto | Técnica ATT&CK | Detalle |
|---|---|---|---|
| Acceso inicial | Email con adjunto Excel malicioso | T1566.001 | Enviado a contabilidad, suplantando proveedor |
| Ejecución | Macro VBA descarga Cobalt Strike | T1059.001 | PowerShell encoded base64 |
| Persistencia | Tarea programada cada 4 horas | T1053.005 | Scheduled Task ejecutando beacon |
| Escalada | PrintNightmare (CVE-2021-34527) | T1068 | Exploit local en servidor de impresión |
| Evasión | Desactivación Windows Defender | T1562.001 | Set-MpPreference -DisableRealtimeMonitoring |
| Credenciales | Mimikatz sobre LSASS | T1003.001 | Obtenido hash del Domain Admin |
| Descubrimiento | AdFind para mapear Active Directory | T1018 | Enumeración de servidores y shares |
| Movimiento lateral | PsExec hacia 200 servidores | T1570 | Despliegue masivo del ransomware |
| Impacto | Cifrado con ransomware LockBit 3.0 | T1486 | Nota de rescate: 5 BTC |
Resultado: El mapeo ATT&CK permitió a la aseguradora validar la reclamación (el ataque seguía un patrón documentado de LockBit), a la Guardia Civil contextualizar la investigación (técnicas consistentes con grupo ruso), y a la empresa implementar controles específicos contra cada técnica identificada.
Marco legal en España
Relevancia en el marco normativo:
- Directiva NIS2: Obliga a entidades esenciales e importantes a implementar medidas de gestión de riesgos de ciberseguridad basadas en amenazas reales. MITRE ATT&CK es el framework más utilizado para evaluar la postura de seguridad frente a amenazas conocidas
- ENS (RD 311/2022): El Esquema Nacional de Seguridad referencia la necesidad de análisis de riesgos basados en amenazas. ATT&CK proporciona la base de conocimiento de amenazas
- Art. 32 RGPD: Las medidas técnicas deben ser “apropiadas al riesgo”. Evaluar los controles contra la matriz ATT&CK demuestra una evaluación de riesgos rigurosa
Valor en informes periciales:
- La nomenclatura ATT&CK proporciona un lenguaje estandarizado que facilita la comprensión del informe por jueces, abogados y otros peritos
- Las referencias a técnicas ATT&CK documentadas con fuentes reales refuerzan la credibilidad del análisis forense
- El mapeo completo del ataque demuestra la exhaustividad de la investigación
LECrim y análisis de ciberdelitos:
- Art. 282 bis LECrim: Investigación de delitos cometidos por organizaciones criminales. ATT&CK facilita la caracterización de grupos APT y organizaciones de cibercrimen
- Art. 588 ter LECrim: Marco para investigaciones tecnológicas. El framework ayuda a justificar las medidas de investigación necesarias
Conceptos relacionados
- APT (Amenaza Persistente Avanzada) - ATT&CK documenta las técnicas de más de 140 grupos APT conocidos
- IOCs (Indicadores de Compromiso) - ATT&CK complementa los IOCs con TTPs de nivel conductual
- Plan de respuesta a incidentes - ATT&CK informa los playbooks de respuesta por tipo de ataque
- Movimiento lateral - Táctica TA0008 documentada con 10+ técnicas específicas
- Escalada de privilegios - Táctica TA0004 con técnicas clasificadas por plataforma
- C2 (Command and Control) - Táctica TA0011 del framework
Preguntas frecuentes
¿MITRE ATT&CK es gratuito?
Si. MITRE ATT&CK es completamente gratuito, de acceso público y sin restricciones de uso. Toda la base de conocimiento está disponible en attack.mitre.org, incluyendo la matriz, las descripciones de técnicas, los grupos APT documentados y el Navigator. Se puede descargar en formato STIX 2.1 para integración con herramientas de seguridad.
¿Cómo se diferencia ATT&CK de un antivirus o un SIEM?
ATT&CK no es una herramienta de detección, sino un framework de conocimiento. Un antivirus detecta malware conocido por firmas, un SIEM correlaciona eventos de seguridad, pero ATT&CK describe el comportamiento completo del adversario. Las tres capas son complementarias: ATT&CK informa qué buscar, el SIEM dónde buscarlo, y el antivirus bloquea lo conocido. Muchos SIEMs modernos mapean sus alertas directamente a técnicas ATT&CK.
¿Necesito conocer MITRE ATT&CK para hacer un informe pericial?
No es obligatorio, pero es altamente recomendable. El uso de la nomenclatura ATT&CK en un informe pericial demuestra rigor metodológico, facilita la comprensión por otros profesionales, y proporciona un marco de referencia universal. Para un perito informático forense especializado en ciberataques, conocer ATT&CK es cada vez más un requisito profesional del mercado.
¿Cuántas técnicas tiene MITRE ATT&CK?
La matriz Enterprise v18.1 (diciembre 2025) contiene 14 tácticas, más de 201 técnicas y 424+ subtécnicas, cubriendo plataformas Windows, Linux, macOS, Cloud (AWS, Azure, GCP), Containers y Network. Adicionalmente, la matriz Mobile cubre Android e iOS, y la matriz ICS cubre sistemas de control industrial. El número crece con cada actualización a medida que se observan nuevas técnicas en ataques reales.
Integración de ATT&CK con otras herramientas
MITRE ATT&CK se integra con las principales herramientas de seguridad y forense:
Integración con SIEMs y EDRs:
| Plataforma | Tipo de integración | Beneficio |
|---|---|---|
| Splunk | Mapeo de alertas a técnicas ATT&CK | Priorización de alertas por TTPs |
| Elastic Security | Reglas de detección mapeadas a ATT&CK | Cobertura visual por técnica |
| Microsoft Sentinel | Workbooks ATT&CK nativos | Dashboards de cobertura defensiva |
| CrowdStrike Falcon | Indicadores de ataque (IOAs) mapeados | Detección basada en comportamiento |
| Velociraptor | Artefactos forenses clasificados por ATT&CK | Triage remoto con contexto táctico |
Integración con threat intelligence:
- STIX/TAXII: ATT&CK se distribuye en formato STIX 2.1, compatible con plataformas de inteligencia de amenazas como MISP, OpenCTI y ThreatConnect
- Sigma Rules: Las reglas de detección Sigma pueden mapearse directamente a técnicas ATT&CK, proporcionando detección universal para cualquier SIEM
- YARA Rules: Los hallazgos de las reglas YARA se contextualizan con las técnicas ATT&CK que detectan
Uso en threat hunting:
El threat hunting basado en ATT&CK sigue un enfoque estructurado:
- Seleccionar una técnica ATT&CK relevante para la organización (basándose en los grupos APT que representan mayor amenaza)
- Identificar las fuentes de datos necesarias para detectar esa técnica (logs de Windows, tráfico de red, actividad de procesos)
- Crear hipótesis de caza: “si un atacante utiliza T1003.001 (LSASS Memory Dump), deberíamos observar X en nuestros logs”
- Ejecutar las búsquedas en el SIEM/EDR y analizar los resultados
- Documentar los hallazgos y mejorar las reglas de detección permanentes
ATT&CK para la dirección de la empresa
Más allá del uso técnico, ATT&CK proporciona valor para la toma de decisiones ejecutivas:
Casos de uso ejecutivos:
- Evaluación de proveedores de seguridad: Comparar la cobertura de detección de diferentes EDR/SIEM usando las evaluaciones ATT&CK de MITRE Engenuity como benchmark objetivo
- Justificación de inversiones: Demostrar gaps de cobertura específicos para justificar la adquisición de herramientas o contratación de personal
- Reporting al consejo: Presentar la postura de seguridad de la organización como porcentaje de técnicas ATT&CK cubiertas vs no cubiertas
- Evaluación de riesgos: Priorizar inversiones de seguridad según las técnicas más utilizadas por los adversarios relevantes para el sector de la organización
ATT&CK en España: aplicación práctica
Uso por organismos españoles:
- CCN-CERT (Centro Criptológico Nacional): Utiliza ATT&CK como referencia en sus guías de seguridad y alertas sobre amenazas. Las guías CCN-STIC referencian técnicas ATT&CK para contextualizar los ataques
- INCIBE: En sus informes de ciberseguridad y alertas a empresas, INCIBE utiliza la nomenclatura ATT&CK para clasificar las amenazas detectadas
- Guardia Civil y Policía Nacional: Las unidades de ciberdelincuencia utilizan ATT&CK para documentar las técnicas empleadas en investigaciones, facilitando la colaboración internacional con Europol e INTERPOL
Grupos APT relevantes para España:
| Grupo ATT&CK | Origen | Objetivos en España | Técnicas principales |
|---|---|---|---|
| APT28 (Fancy Bear) | Rusia (GRU) | Gobierno, defensa | Spear phishing, Cobalt Strike, credential harvesting |
| APT29 (Cozy Bear) | Rusia (SVR) | Diplomacia, investigación | SolarWinds-style supply chain, cloud exploitation |
| Lazarus Group | Corea del Norte | Finanzas, criptomonedas | Watering hole, custom malware, blockchain theft |
| UNC2452 | Rusia | Supply chain tecnológico | SolarWinds, SUNBURST, lateral movement |
| Turla | Rusia (FSB) | Embajadas, gobierno | Satellite-based C2, watering holes |
Relevancia para el perito forense en España:
Cuando un perito investiga un ciberataque contra una empresa española, el mapeo de las técnicas observadas a grupos ATT&CK conocidos puede proporcionar pistas de atribución. Aunque la atribución definitiva corresponde a las fuerzas de seguridad y agencias de inteligencia, el perito puede documentar la consistencia entre las técnicas observadas y los patrones de grupos conocidos, aportando contexto valioso al informe pericial.
Referencias y fuentes
MITRE - “MITRE ATT&CK”, base de conocimiento oficial. attack.mitre.org
CrowdStrike - “2025 Global Threat Report”, estadísticas de intrusiones y técnicas. crowdstrike.com
MITRE Engenuity - “ATT&CK Evaluations Enterprise 2025”, resultados de evaluación de 11 vendors. attackevals.mitre-engenuity.org
ACM Computing Surveys - “MITRE ATT&CK: State of the Art and Way Forward”, análisis bibliométrico de 391 publicaciones. dl.acm.org
MITRE - “ATT&CK Navigator”, herramienta de visualización. mitre-attack.github.io/attack-navigator
SANS Institute - “Using ATT&CK for Incident Response”, guía práctica. sans.org
NIST - “SP 800-53 Rev. 5: Security and Privacy Controls”, controles mapeables a ATT&CK. nist.gov
INCIBE - “Guía de gestión de incidentes de seguridad”, referencia para empresas españolas. incibe.es
Directiva NIS2 - Directiva (UE) 2022/2555 sobre ciberseguridad. eur-lex.europa.eu
Europol - “Internet Organised Crime Threat Assessment (IOCTA) 2024”. europol.europa.eu
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita