defensiva
MITRE ATT&CK
threat hunting
SOC

Qué es MITRE ATT&CK: tácticas, técnicas y uso en SOC y Red Team

Qué es MITRE ATT&CK, cómo se organiza en tácticas, técnicas y sub-técnicas, las 14 tácticas Enterprise y cómo lo usan SOC, Red Team y threat hunting.

Secra10 de mayo de 202613 min de lectura

MITRE ATT&CK es la base de conocimiento pública que cataloga el comportamiento real de los atacantes en tácticas, técnicas y procedimientos. La mantiene MITRE Corporation, una organización sin ánimo de lucro estadounidense, desde 2013. Hoy es el lenguaje común de la industria de ciberseguridad para describir cómo actúa un adversario, evaluar la cobertura defensiva de un SOC y planificar ejercicios de Red Team.

Esta guía explica qué es MITRE ATT&CK, cómo está organizado por dentro (tácticas, técnicas, sub-técnicas, procedimientos), cuáles son las 14 tácticas Enterprise, cómo lo usan en el día a día equipos de SOC, threat hunters y Red Team, qué es ATT&CK Navigator, en qué se diferencia de la Cyber Kill Chain y de D3FEND, y cuándo conviene apoyarse en él para cumplir NIS2, DORA o ISO 27001.

Qué es MITRE ATT&CK

ATT&CK son las siglas de Adversarial Tactics, Techniques and Common Knowledge. Es una matriz pública y gratuita que documenta el comportamiento de actores de amenazas observado en investigaciones forenses, informes de incidentes y publicaciones de threat intelligence.

A diferencia de un catálogo de vulnerabilidades como CVE, que describe fallos puntuales en software, ATT&CK describe cómo se comporta un atacante una vez dentro: cómo persiste, cómo escala privilegios, cómo se mueve lateralmente, cómo exfiltra datos. La pregunta que responde no es qué bug usa el atacante sino qué hace después.

Lo que aporta operativamente:

  • Lenguaje común para que SOC, Red Team, IT y dirección hablen del mismo evento sin ambigüedad.
  • Mapa de cobertura defensiva: un equipo puede medir qué técnicas detecta hoy y dónde tiene huecos.
  • Base para threat hunting: los hunts se diseñan buscando técnicas concretas, no intuiciones.
  • Plantilla para ejercicios Red Team y purple team: el escenario se construye encadenando técnicas reales.
  • Marco para reporting ejecutivo: traduce alertas técnicas a comportamiento de adversario que un comité entiende.

Es gratis, abierto, descargable en JSON o STIX, y la mayoría de SIEM, EDR y XDR del mercado ya etiquetan sus reglas con identificadores ATT&CK.

Cómo se estructura el framework

ATT&CK se organiza en cuatro niveles de abstracción que van de lo general a lo concreto.

Tácticas

Son los objetivos del atacante, el "porqué" de una acción. Responden a preguntas como "¿qué quiere conseguir el adversario en este paso?". Son 14 en la matriz Enterprise actual y se ordenan, de forma orientativa, según el flujo típico de una intrusión.

Técnicas

Son las maneras concretas de cumplir una táctica. Responden a "¿cómo lo hace?". Por ejemplo, dentro de la táctica Credential Access hay técnicas como Brute Force (T1110), OS Credential Dumping (T1003) o Kerberoasting (parte de T1558.003).

Cada técnica tiene un identificador único (Txxxx), descripción, plataformas afectadas, fuentes de datos para detectarla, mitigaciones recomendadas y referencias a casos reales documentados.

Sub-técnicas

A partir de 2020, MITRE refactorizó muchas técnicas en sub-técnicas para ganar precisión. Por ejemplo, OS Credential Dumping (T1003) tiene sub-técnicas para LSASS memory (T1003.001), Security Account Manager (T1003.002), NTDS (T1003.003), DCSync (T1003.006) y otras. Esto permite que la detección sea quirúrgica en lugar de genérica.

Procedimientos

Son la implementación específica de una técnica observada en un grupo o malware concreto. Un procedimiento responde a "¿cómo lo hizo APT29 exactamente en aquel incidente?". MITRE documenta procedimientos asociados a más de 130 grupos (APT28, FIN7, Lazarus, Conti, etc.) y a familias de malware (Cobalt Strike, Mimikatz, Emotet).

La fórmula que se cita en la industria es TTPs = Tactics, Techniques and Procedures. Mapear una intrusión a sus TTPs ATT&CK permite identificar al grupo responsable cuando los procedimientos coinciden con los ya documentados en la matriz para un actor concreto.

Las 14 tácticas Enterprise

La matriz Enterprise (la más usada, cubre Windows, Linux, macOS, contenedores, redes y SaaS) tiene estas 14 tácticas en este orden:

  1. Reconnaissance. Recolección activa o pasiva de información sobre el objetivo. Aquí encajan herramientas como Maltego o técnicas como Google Dorks.
  2. Resource Development. Preparación de la infraestructura ofensiva: registro de dominios, compra de servidores C2, creación de cuentas falsas.
  3. Initial Access. Punto de entrada inicial. Phishing, explotación de servicios externos, abuso de cuentas válidas.
  4. Execution. Ejecución de código malicioso en el sistema comprometido.
  5. Persistence. Mecanismos para sobrevivir a reinicios o cierres de sesión: tareas programadas, servicios, claves de registro, cuentas nuevas.
  6. Privilege Escalation. Ganar permisos superiores: explotar vulnerabilidades del kernel, abuso de tokens, bypass de UAC.
  7. Defense Evasion. Eludir controles: ofuscación, deshabilitar antivirus, borrar logs, firmar binarios.
  8. Credential Access. Robo de credenciales: dumping de LSASS, ataques Kerberos, keyloggers, captura de hashes NTLM.
  9. Discovery. Reconocimiento interno una vez dentro: enumeración de usuarios, sistemas, redes, servicios.
  10. Lateral Movement. Movimiento entre sistemas: SMB, RDP, WMI, Pass-the-Hash, abuso de servicios remotos.
  11. Collection. Recopilación de información antes de exfiltrar: capturas de pantalla, micrófono, lectura de correo, ficheros sensibles.
  12. Command and Control (C2). Comunicación entre el atacante y el activo comprometido: HTTP/S, DNS tunneling, Cobalt Strike, frameworks custom.
  13. Exfiltration. Sacar los datos fuera del entorno víctima.
  14. Impact. Acción final que afecta al negocio: cifrado por ransomware, borrado destructivo, manipulación de datos, denegación de servicio.

Las primeras dos tácticas (Reconnaissance y Resource Development) se añadieron en 2020. Antes ATT&CK arrancaba directamente en Initial Access.

Matrices disponibles

ATT&CK no es una sola matriz. MITRE mantiene tres principales y varias derivadas.

Enterprise

La más amplia y la que usa el 90% de SOCs. Cubre Windows, macOS, Linux, contenedores (Docker, Kubernetes), redes (network devices), Office 365, Google Workspace, Azure AD / Entra ID, IaaS (AWS, Azure, GCP) y SaaS. Es la matriz por defecto cuando alguien dice "mapeé el incidente a ATT&CK".

Mobile

Tácticas y técnicas específicas de Android e iOS. Útil en programas de seguridad móvil corporativa, MDM y pentesting de aplicaciones móviles.

ICS (Industrial Control Systems)

Para entornos industriales (OT): SCADA, PLCs, sistemas de control de procesos. Tácticas como Inhibit Response Function o Impair Process Control no tienen equivalente en Enterprise. Es referencia obligada para sectores energía, agua, manufactura crítica bajo NIS2.

Existen además matrices contributivas (Cloud, Containers) que en la práctica se han fusionado dentro de Enterprise como plataformas, y proyectos derivados como ATT&CK Flow para representar cadenas completas de ataque.

ATT&CK Navigator

ATT&CK Navigator es una herramienta web gratuita de MITRE que permite superponer capas (layers) sobre la matriz para visualizar cobertura, gaps, hunts y campañas.

Casos de uso habituales:

  • Mapa de cobertura del SOC. Una capa marca cada técnica que el SIEM o el EDR detecta hoy. Otra capa marca las que detectan los equipos de threat hunting en cazas reactivas. Comparar las dos visualiza dónde hay sombra.
  • Threat-informed defense. El equipo de threat intelligence carga el conjunto de técnicas usadas por los grupos relevantes (por sector y geografía). Defensa prioriza inversión en esos huecos.
  • Plan Red Team. El operador planifica el ejercicio marcando las técnicas que va a ejecutar y compartiendo la capa con Blue Team al cierre para purple team.
  • Reporting ejecutivo. Una matriz coloreada (verde detectado, naranja parcial, rojo sin cobertura) comunica el estado defensivo a un comité mejor que una tabla de KPIs.

Navigator se puede ejecutar online en mitre-attack.github.io/attack-navigator o desplegado on-premise en una organización.

MITRE ATT&CK en SOC y threat hunting

Para un equipo defensivo, ATT&CK aporta valor en cuatro frentes.

Etiquetado de reglas y alertas. Cada regla del SIEM o el EDR debe llevar etiqueta de la técnica que detecta. Cuando una alerta dispara, el analista ve directamente la táctica y técnica asociadas, lo que acelera el triage.

Diseño de hunts. En lugar de "vamos a buscar cosas raras", el threat hunter elige una técnica (por ejemplo Pass-the-Hash, T1550.002) y construye una query específica sobre la telemetría que tendría que aparecer si esa técnica está en uso. ATT&CK indica qué fuentes de datos consultar (process creation, authentication, network connection).

Medición de detección. Periódicamente se ejecutan tests con herramientas como Atomic Red Team o Caldera, que ejecutan técnicas reales en endpoints controlados. Lo que dispara alerta cuenta como cobertura validada; lo que no dispara, queda como gap a resolver.

Reporting al comité. La cobertura ATT&CK es una métrica que viaja bien a dirección: porcentaje de técnicas relevantes detectadas, evolución mes a mes, dónde se invierte el siguiente euro.

MITRE ATT&CK en Red Team

En el lado ofensivo, ATT&CK estructura el ejercicio.

  • Planificación. El cliente define qué técnicas o grupos quiere emular (por ejemplo, "operad como FIN7" o "ejecutad estas 30 técnicas concretas").
  • Ejecución. El operador documenta cada acción mapeada a su identificador ATT&CK. Eso permite que Blue Team reconstruya la timeline después.
  • Reporting. El informe final incluye tanto la narrativa del ataque como una matriz coloreada con las técnicas usadas, el resultado por técnica (detectado, parcial, no detectado) y recomendaciones por hueco.
  • Purple team. Operador y defensor revisan en directo cada técnica, validan detección y ajustan reglas en el momento. Es la forma más eficiente de cerrar gaps.

Marcos como TIBER-EU exigen explícitamente que los TTPs del ejercicio se mapeen a un framework reconocido. ATT&CK es el estándar de facto. La guía de TIBER-EU y TLPT detalla cómo encaja en programas regulados.

ATT&CK frente a Cyber Kill Chain de Lockheed Martin

Cyber Kill Chain (Lockheed Martin, 2011) es el predecesor conceptual. Modela un ataque en siete fases lineales: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control y Actions on Objectives.

Diferencias prácticas con ATT&CK:

  • Kill Chain es lineal y de alto nivel. ATT&CK es modular y granular: dentro de "Actions on Objectives" hay decenas de técnicas concretas.
  • Kill Chain encaja bien en ataques tradicionales con malware. ATT&CK encaja además en intrusiones living-off-the-land, abuso de cuentas y ataques cloud.
  • Kill Chain sirve para reportes ejecutivos cortos. ATT&CK sirve además para operaciones técnicas.
  • Hoy la mayoría de equipos usan Kill Chain como narrativa de alto nivel y ATT&CK como mapa táctico-técnico.

No son excluyentes. La fase Kill Chain "Installation" se mapea a la táctica ATT&CK Persistence, "Command & Control" se mapea a Command and Control, y así sucesivamente.

ATT&CK frente a MITRE D3FEND

MITRE D3FEND, lanzado en 2021 con financiación de la NSA, es la matriz hermana de ATT&CK pero del lado defensivo. Cataloga técnicas defensivas (hardening, detection, isolation, deception, eviction) y las relaciona con las técnicas ofensivas que mitigan o detectan.

D3FEND no reemplaza ATT&CK; lo complementa. Si ATT&CK responde "¿qué hace el atacante?", D3FEND responde "¿qué contramedida concreta neutraliza esa acción?". Para un programa de seguridad maduro, los dos se usan en paralelo.

Limitaciones y errores comunes

ATT&CK es una herramienta excelente, pero tiene limitaciones que conviene tener presentes.

No es exhaustivo. Refleja lo observado, no lo posible. Técnicas zero-day o novedosas pueden tardar meses en aparecer en la matriz.

No es priorizable de fábrica. Marca todas las técnicas como iguales. Cada organización debe priorizar las relevantes para su sector, geografía y stack tecnológico. Detectar técnicas ICS no aporta a una empresa SaaS pura.

Cobertura no equivale a seguridad. Un SOC puede tener 95% de cobertura ATT&CK en el papel y fallar en producción si las reglas son ruidosas, los analistas están saturados o no hay respuesta tras la alerta.

Riesgo de "ATT&CK theater". Reportes con matrices muy coloreadas que no se traducen en MTTD/MTTR reales. La matriz es un medio, no un fin.

Granularidad variable. Algunas técnicas tienen muchas sub-técnicas; otras siguen siendo bloques amplios. Eso obliga a interpretación.

Encaje con compliance

Aunque ATT&CK no aparece nominalmente en los textos legales, sí encaja en los controles que piden los marcos:

  • NIS2 (artículo 21). Pide medidas de detección, gestión de incidentes y análisis. Mapear capacidades a ATT&CK es la forma estándar de demostrar cobertura defensiva ante una auditoría.
  • DORA (artículos 9, 17). Detección, respuesta y reporting de incidentes ICT. ATT&CK estructura tanto los runbooks como los informes post-incidente.
  • ISO 27001:2022 (controles 8.16, 8.7, 5.25). Monitorización de actividad, protección frente a malware, gestión de incidentes. Documentar la cobertura con ATT&CK acelera la auditoría.
  • ENS Real Decreto 311/2022. Las medidas op.exp y op.mon ganan claridad si la organización mantiene un mapa ATT&CK Navigator vivo.

Ningún marco regulatorio español obliga a usar ATT&CK específicamente, pero los auditores valoran que la organización tenga un lenguaje común y una métrica de cobertura. ATT&CK es la respuesta económica a esa expectativa.

Preguntas frecuentes

¿Qué significa exactamente "ATT&CK"?

Es el acrónimo de Adversarial Tactics, Techniques and Common Knowledge. La grafía oficial usa el ampersand y dos puntos finales (CK) representando las dos palabras, no es un error tipográfico.

¿Es gratis usar MITRE ATT&CK?

Sí. La matriz, las descripciones, ATT&CK Navigator, el conjunto de datos y las herramientas asociadas (Atomic Red Team, Caldera) son públicas y gratuitas. MITRE Corporation es una organización sin ánimo de lucro financiada en gran parte por contratos federales estadounidenses.

¿Cuál es la diferencia entre técnica y sub-técnica?

La técnica es el método general (por ejemplo OS Credential Dumping, T1003). La sub-técnica concreta el vector específico (T1003.001 LSASS, T1003.006 DCSync). Las sub-técnicas se introdujeron en 2020 para que la detección y el reporting fueran más precisos.

¿Cómo empieza un SOC pequeño a usar ATT&CK?

El camino habitual es: 1) etiquetar las reglas existentes con su identificador de técnica; 2) cargar esa cobertura en ATT&CK Navigator; 3) priorizar las 20-30 técnicas más relevantes para el sector; 4) ejecutar Atomic Red Team contra esas técnicas para validar detección real; 5) cerrar gaps en orden de impacto. No hace falta cubrir las 600 técnicas, hace falta cubrir bien las que importan.

¿ATT&CK sustituye a OWASP, CIS o NIST?

No. ATT&CK habla de comportamiento adversario; OWASP de vulnerabilidades de aplicación; CIS de configuración segura; NIST CSF de gobernanza y funciones. Son capas distintas de un mismo programa de seguridad y se complementan.

¿Qué es Atomic Red Team?

Es un proyecto open source mantenido por Red Canary que ofrece pruebas pequeñas y atómicas (un script, un comando) para ejecutar cada técnica ATT&CK en un entorno controlado. Permite validar empíricamente si las defensas detectan lo que se supone que detectan.

Recursos relacionados

ATT&CK aplicado en Secra

En Secra usamos MITRE ATT&CK para mapear cada hallazgo de un Red Team y para medir la cobertura defensiva del cliente cuando hacemos auditorías de SOC, SIEM o servicios MDR contratados. El entregable es una matriz Navigator viva que el equipo de seguridad mantiene después del proyecto, compara año a año y usa para justificar decisiones de inversión, no un PDF que se archive. Si quieres validar tu cobertura ATT&CK con un ejercicio purple team o auditar la propuesta de un proveedor de detección y respuesta, escríbenos por contacto o consulta nuestros servicios de threat intelligence.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es un keylogger: tipos, cómo funciona y cómo protegerse

Qué es un keylogger, tipos (software, hardware, web, acústico), cómo se distribuye, cómo se detecta con EDR y antivirus, y medidas de protección.

2026-05-1014 min
defensiva

Qué es pharming: tipos, diferencias con phishing y cómo protegerse

Qué es pharming, tipos (DNS local, servidor DNS, BGP hijacking), diferencias con phishing, casos reales y cómo protegerse con DNSSEC, MFA y EDR.

2026-05-1013 min
defensiva

Qué es un troyano: tipos, ejemplos reales y cómo eliminarlo

Qué es un troyano informático, tipos (RAT, banker, downloader, dropper, info-stealer), ejemplos reales (Emotet, Trickbot, Agent Tesla) y pasos de eliminación.

2026-05-1013 min