O framework MITRE ATT&CK como idioma comum para times de segurança

Uno de los mayores desafíos de la ciberseguridad no es técnico, es de comunicación.
Los equipos de SOC, CTI, Red Team, Blue Team, GRC, concienciación en seguridad y gestión ejecutiva a menudo hablan de las mismas amenazas, pero utilizan lenguajes diferentes. El resultado es la desalineación, el ruido, el aumento del riesgo de exposición a ataques y decisiones basadas en interpretaciones divergentes. Es exactamente en este punto donde el framework MITRE ATT&CK se ha consolidado como algo más que una simple base técnica: se ha convertido en un idioma común para la ciberseguridad.

El problema: los equipos hablan “seguridad” en dialectos diferentes
Considere situaciones comunes en el día a día:

• El SOC habla en alertas, eventos y registros (logs)
• El CTI habla en grupos, campañas y TTPs
• El Red Team habla en payloads, exploits y cadenas de ataque
• El GRC habla en riesgo, impacto y control
• El equipo de Concienciación en Seguridad habla en comportamiento, percepción y toma de decisiones del usuario.
• El liderazgo habla en exposición, prioridad y coste

Todos tienen razón, pero sin un vocabulario común, la integración se pierde. Cuando un analista dice “detectamos comportamiento sospechoso en el endpoint“, ¿qué significa exactamente?
Cuando el CTI alerta sobre un grupo activo, ¿cómo se traduce eso en acción práctica?

Qué es MITRE ATT&CK
El MITRE ATT&CK es una base de conocimiento que describe cómo los adversarios reales llevan a cabo ataques y está organizada por:

• Tácticas (el objetivo del atacante)
• Técnicas (cómo se logra ese objetivo)
• Subtécnicas (variaciones específicas)
• Procedimientos (implementación específica o uso en situaciones reales que el adversario utiliza para ejecutar las técnicas o subtécnicas).

Es mantenida por MITRE, una organización sin fines de lucro que opera centros de investigación financiados por el gobierno de EE. UU., y se actualiza basándose en observaciones reales de campañas de ataque. El punto clave: ATT&CK describe el comportamiento, no herramientas específicas.

ATT&CK como traductor entre equipos
El gran valor de MITRE ATT&CK reside en su capacidad para traducir contextos entre disciplinas.

CTI → SOC
Cuando el CTI dice:
“Este grupo utiliza Credential Dumping seguido de Lateral Movement via SMB”
El SOC sabe exactamente:

• Dónde buscar
• Qué registros priorizar
• Qué detecciones validar

Ya no es una alerta abstracta, es una hipótesis operativa clara.

CTI → Red Team
El Red Team deja de simular ataques genéricos y pasa a:

• Emular grupos reales
• Reproducir cadenas de ataque observadas
• Probar controles contra TTPs específicas

Resultado: ejercicios más realistas y accionables.

SOC / Red Team → GRC
Con ATT&CK, el discurso cambia de:
“Tenemos X vulnerabilidades”
A:
“Tenemos baja cobertura de detección para técnicas de exfiltración utilizadas por grupos que atacan a nuestro sector”
Esto conecta amenaza → riesgo → decisión.

CTI → Concienciación en Seguridad
Sin un modelo común, el discurso suele ser genérico:
“Necesitamos entrenar a los usuarios contra el phishing.”
Con el CTI integrado a la concienciación, el discurso cambia a:
“Estamos observando campañas activas que utilizan pretextos de RR. HH. y enlaces de restablecimiento de contraseña, explotando técnicas de Phishing y Valid Accounts asociadas a grupos que ya atacan a empresas de nuestro sector.”
Este cambio permite:

• Entrenamientos basados en amenazas reales, no en escenarios hipotéticos
• Simulaciones alineadas con TTPs efectivamente utilizadas en el momento
• Mensajes más específicos para las áreas, cargos y contextos correctos
• Métricas de concienciación conectadas al riesgo real, no solo a la tasa de clics

En agosto de 2025, presenté una charla específicamente sobre cómo el CTI puede apoyar las áreas de concienciación. Texto completo de esta presentación en

True Crime: CTI como Base da Educação em Segurança Cibernética – Carlos Cabral | HumanConf 2025

ATT&CK en la práctica: ejemplos concretos
Imagine el siguiente escenario:

• El CTI identifica la actividad creciente de un grupo que explota credenciales válidas.
• El comportamiento se mapea como:
  • Táctica: Initial Access
  • Técnica: Valid Accounts

A partir de esto:

• El SOC revisa autenticaciones anómalas
• El Red Team simula el abuso de cuentas legítimas
• El GRC evalúa los controles de MFA e identidad
• El equipo de Concienciación emite un boletín específico para el caso
• El liderazgo entiende por qué la identidad se convirtió en prioridad

Todo esto utilizando la misma referencia.

ATT&CK no es una lista de verificación — es contexto
Un error común es tratar el MITRE ATT&CK como:

• Lista de controles a implementar
• Hoja de cálculo de “cobertura completa”

En la práctica, cubrir el 100% de ATT&CK es inviable e innecesario. El valor real está en:

• Priorizar técnicas relevantes para su perfil de riesgo
• Comprender qué etapas del ataque detecta bien (y cuáles no)
• Guiar decisiones basadas en adversarios reales, en lugar de fantasmas subjetivos.

Por qué ATT&CK es esencial para CTI
Para Cyber Threat Intelligence, ATT&CK es el vínculo entre:

• Observación externa (campañas, grupos, foros)
• Acción interna (detección, respuesta, pruebas)

Permite:

• Estandarizar informes
• Facilitar la difusión de inteligencia
• Aumentar la adopción del CTI por parte de los equipos técnicos
• Transformar la inteligencia en decisión operativa

Sin esto, el CTI corre el riesgo de convertirse solo en un productor de informes interesantes, pero poco accionables.

Para cerrar
La ciberseguridad es un esfuerzo colectivo.
Y los esfuerzos colectivos, sin un lenguaje común, terminan en confusión. En seguridad, la confusión es vulnerabilidad. MITRE ATT&CK no resuelve todos los problemas, pero resuelve uno de los más críticos: la alineación.
Cuando todos hablan el mismo idioma:

• El CTI se convierte en acción
• El SOC gana enfoque
• El Red Team gana realismo
• El GRC gana claridad
• El equipo de concienciación gana pragmatismo
• El liderazgo gana confianza