¿Qué es MITRE ATT&CK?

Matriz Enterprise

La matriz Enterprise, que es la más completa de las tres, se centra en las tácticas y técnicas que los atacantes usan contra sistemas Windows, macOS y Linux. Incluye diversas tácticas (desde el acceso inicial y la ejecución hasta el comando y control y la exfiltración) y ofrece detalles sobre los posibles vectores de ataque dentro de las redes corporativas. Esta matriz es una herramienta crucial para las organizaciones a la hora de identificar vulnerabilidades, mejorar sus funciones de detección y reforzar sus defensas contra las ciberamenazas sofisticadas.

Matriz Mobile

En lo que respecta a la matriz Mobile, la atención se centra en las amenazas que afectan a las plataformas iOS y Android. Esta matriz incluye amenazas que afectan a dispositivos móviles en exclusiva, como el uso de exploits contra aplicaciones o funciones del sistema operativo para obtener información y acceso no autorizado. Es una herramienta esencial para conocer las tácticas que se usan en los entornos móviles y que cambian sin cesar, y ayuda a los equipos de seguridad a desarrollar estrategias sólidas para proteger los datos confidenciales que contienen los dispositivos móviles.

Matriz ICS

La matriz ICS destaca las ciberamenazas que afectan a los entornos industriales en los que predomina la tecnología operativa (TO). Se centra en las tácticas y técnicas que usan los atacantes para bloquear, controlar o dañar los procesos industriales. Esta matriz es esencial para proteger la infraestructura crítica, ya que proporciona información práctica sobre la intersección de la seguridad física y la cibernética, con lo que ayuda a implementar medidas eficaces contra las amenazas que afectan a las operaciones industriales.

Descubra la forma en que la matriz MITRE ATT&CK categoriza las tácticas, técnicas y procedimientos que usan los atacantes: ¿Qué es la matriz MITRE ATT&CK?

Componentes clave del marco MITRE ATT&CK

El marco MITRE ATT&CK es un recurso crucial en el ámbito de la ciberseguridad. Proporciona una matriz exhaustiva de las tácticas, técnicas y procedimientos que utilizan los actores de amenazas. Se basa en los conocimientos sobre seguridad aportados por la comunidad y ayuda a las organizaciones a conocer y mitigar las ciberamenazas, que cambian sin cesar, y a mejorar su estrategia de seguridad.

Tácticas MITRE 

Las tácticas constituyen el «por qué» de una técnica o subtécnica de ATT&CK. Cada táctica representa un objetivo concreto de un atacante, como obtener acceso inicial a un sistema, ejecutar código malicioso o exfiltrar datos.

Estas tácticas no son independientes, sino que forman un entramado de posibles metodologías que los atacantes pueden adaptar y combinar según sus objetivos y el entorno que esté en su punto de mira.

El marco categoriza estas tácticas de forma que reflejen el ciclo de un ciberataque, desde la fase de reconocimiento (durante la que el atacante reúne información sobre los posibles objetivos) hasta la de impacto (en la que se inflige el daño en sí). Este modelo por fases ayuda a conocer en su totalidad la progresión de un ataque y también contribuye al desarrollo de estrategias de defensa por capas que aborden las vulnerabilidades en cada etapa.

Al diseccionar cada táctica, los profesionales de la ciberseguridad pueden profundizar en las técnicas y subtécnicas en las que se basan, lo que les proporciona información práctica sobre los métodos específicos que usan los atacantes para lograr sus objetivos. Este nivel de detalle es vital para desarrollar mecanismos precisos de detección y adaptar las defensas a las características únicas de cada amenaza.

El valor práctico del marco se ve enriquecido por el énfasis que pone en la aplicación real de dichas tácticas, el cual se basa en casos reales e informes sobre incidentes. Los equipos de seguridad pueden aprovechar esta información para simular situaciones de ataque, poner a prueba sus defensas y perfeccionar sus estrategias de respuesta a incidentes. Esto les permite asegurarse de que están preparados para contrarrestar las cambiantes tácticas que usan los ciberdelincuentes.

Tácticas de la matriz Enterprise (14)

La matriz Enterprise incluye las siguientes tácticas de ataque:

• Reconocimiento: recabar información útil para planificar operaciones futuras.
• Desarrollo de recursos: establecer recursos que sirvan de ayuda para las operaciones.
• Acceso inicial: infiltrarse en la red de la víctima.
• Ejecución: ejecutar código malicioso.
• Persistencia: mantener su presencia a largo plazo.
• Obtención de privilegios de mayor nivel: conseguir permisos de mayor nivel.
• Evasión de las defensas: evitar ser detectados.
• Acceso a credenciales: robar nombres de usuario y contraseñas.
• Detección: llegar a conocer el entorno objetivo.
• Movimiento lateral: desplazarse por el entorno objetivo.
• Recopilación: reunir datos de interés para lograr su objetivo.
• Comando y control: comunicarse con los sistemas atacados para controlarlos.
• Exfiltración: robar datos.
• Impacto: manipular, bloquear o destruir sistemas y datos.

Tácticas de la matriz Mobile (14)

La matriz Mobile incluye las siguientes tácticas de ataque:

• Acceso inicial: infiltrarse en un dispositivo.
• Ejecución: ejecutar código malicioso.
• Persistencia: mantener su presencia a largo plazo.
• Obtención de privilegios de mayor nivel: conseguir permisos de mayor nivel.
• Evasión de las defensas: evitar ser detectados.
• Acceso a credenciales: robar nombres de usuario, contraseñas u otros secretos con los que se accede a los recursos.
• Detección: llegar a conocer el entorno objetivo.
• Movimiento lateral: desplazarse por el entorno objetivo.
• Recopilación: reunir datos de interés para lograr su objetivo.
• Comando y control: comunicarse con los dispositivos atacados para controlarlos.
• Exfiltración: tratar de robar datos.
• Impacto: manipular, bloquear o destruir dispositivos y datos.
• Efectos basados en la red: interceptar o manipular el tráfico de red que entra o sale de un dispositivo.
• Efectos basados en los servicios remotos: controlar o supervisar el dispositivo mediante servicios remotos.

Tácticas de la matriz ICS (12)

La matriz ICS incluye las siguientes tácticas de ataque:

• Acceso inicial: infiltrarse en el entorno de sistemas de control industrial.
• Ejecución: ejecutar código o manipular sin autorización las funciones, los parámetros y los datos de los sistemas.
• Persistencia: mantener su presencia a largo plazo en el entorno de ICS.
• Obtención de privilegios de mayor nivel: conseguir permisos de mayor nivel.
• Evasión: evitar los mecanismos de defensa.
• Detección: localizar información para evaluar e identificar sus objetivos dentro del entorno.
• Movimiento lateral: desplazarse por el entorno de ICS.
• Recopilación: reunir datos de interés y conocimientos específicos sobre el entorno de ICS para lograr su objetivo.
• Comando y control: comunicarse con los sistemas, controladores y plataformas atacados y controlarlos mediante el acceso al entorno de ICS.
• Inhibición de las funciones de respuesta: impedir que las funciones de seguridad, protección, evaluación de la calidad e intervención de operadores puedan responder a un fallo, un peligro o una carencia de seguridad.
• Desactivar procesos de control: manipular, inhabilitar o dañar procesos de mecanismos físicos de control.
• Impacto: manipular, bloquear o destruir sistemas de ICS, así como sus datos y el entorno en el que se encuentran.

Técnicas MITRE ATT&CK

Si profundizamos en el marco MITRE ATT&CK, observamos una sofisticada matriz de técnicas y subtécnicas que constituyen los cimientos de las tácticas explicadas en la sección anterior. Cada técnica proporciona una descripción detallada de los métodos que aplican de los ciberdelincuentes para conseguir sus objetivos tácticos.

Estas técnicas se desglosan en subtécnicas, que ofrecen más detalles sobre el arsenal de los atacantes y revelan las acciones específicas que se realizan para ejecutar la estrategia general.

Por ejemplo, la táctica denominada «acceso inicial» puede incluir técnicas como el envío de correos de spear phishing o el uso de exploits contra aplicaciones públicas. Las subtécnicas describen los matices de dichos métodos, como el tipo específico de la vulnerabilidad atacada en la aplicación pública, o bien la inclusión de un archivo adjunto o un enlace malicioso en los correos de spear phishing. Este modelo por capas permite a los encargados de la defensa identificar el método general de ataque y conocer los entresijos de su ejecución.

La exhaustiva catalogación de estas técnicas y subtécnicas del marco se actualiza continuamente para que refleje el carácter cambiante de las ciberamenazas. Cada entrada se complementa con ejemplos reales, indicadores de riesgo y estrategias de mitigación, lo que proporciona inteligencia práctica a los profesionales de la seguridad. Gracias a este nivel de detalle, es posible elaborar una estrategia proactiva de defensa y los equipos pueden anticipar posibles vectores de ataque y reforzar sus defensas en consecuencia.

Los profesionales de la seguridad aplican este conocimiento profundo para adaptar sus medidas de seguridad con más precisión, lo que mejora su capacidad de detección, respuesta y mitigación de amenazas. El marco MITRE ATT&CK plasma los métodos de actuación de los atacantes con todo lujo de detalles, gracias a lo cual las organizaciones pueden mejorar la resiliencia y la capacidad de respuesta de su estrategia de ciberseguridad.

Descubra la forma en que las técnicas MITRE ATT&CK categorizan y describen los métodos y tácticas que usan los adversarios en sus ciberataques: ¿Qué son las técnicas MITRE ATT&CK?

¿Qué son las subtécnicas?

Las subtécnicas son descripciones más específicas de los comportamientos que adoptan los ciberdelincuentes para alcanzar un objetivo. Describen un comportamiento de forma más específica que las técnicas y proporcionan detalles que ayudan a los equipos de seguridad a elaborar una táctica de ciberseguridad precisa para mitigar riesgos específicos. Por ejemplo, un atacante podría lanzar un ataque de keylogger para acceder a credenciales.

Procedimientos de MITRE ATT&CK

Los procedimientos son las implementaciones específicas que los atacantes usan para ejecutar una técnica o subtécnica. Por ejemplo, un procedimiento podría ser el uso de PowerShell por parte de un ciberdelincuente para inyectar procesos en lsass.exe y extraer credenciales de acceso de la memoria de Local Security Authentication Server (LSASS) de la víctima. En el marco ATT&CK, los procedimientos se clasifican como técnicas observadas en acción en la sección de ejemplos de procedimientos de las páginas relativas a las técnicas.

¿En qué se diferencian las subtécnicas y los procedimientos?

En el marco ATT&CK, las subtécnicas y los procedimientos se refieren a cosas diferentes. Una subtécnica explica en detalle cómo se ejecutan los ciberataques, mientras que los procedimientos se usan para describir la aplicación de las técnicas en la práctica. Además, como los procedimientos son implementaciones específicas de métodos y subtécnicas, pueden incluir varias subtécnicas adicionales como parte de la descripción.

Por ejemplo, el uso de PowerShell por parte de un ciberdelincuente para inyectar procesos en lsass.exe y extraer credenciales de la memoria de LSASS de la víctima es una implementación de un procedimiento que contiene varias subtécnicas que abarcan PowerShell, el acceso a credenciales y la inyección de procesos contra LSASS.

Obtenga más información sobre las diferencias entre las subtécnicas y los procedimientos del marco MITRE ATT&ACK: ¿En qué se diferencian las subtécnicas y los procedimientos de MITRE ATT&CK?

Uso del marco MITRE ATT&CK

Los ejercicios de Red Team y emulación de atacantes utilizan el marco para simular ataques reales. Las simulaciones ayudan a determinar la eficacia de las medidas de seguridad actuales y a identificar los posibles puntos débiles de la red de una organización. Las organizaciones pueden desarrollar defensas y estrategias de respuesta más sólidas mediante la imitación de los comportamientos y las tácticas de atacantes reales.

El desarrollo de análisis de comportamientos es otra forma crucial de aplicar el marco MITRE ATT&CK. Al analizar los patrones y las técnicas que se describen en el marco, los equipos de seguridad pueden mejorar sus sistemas de detección para identificar actividades sospechosas que se salgan de la norma y mitigar las amenazas cuanto antes.

El marco MITRE ATT&CK hace que la evaluación de la madurez y de las carencias defensivas de los centros de operaciones de seguridad (SOC) esté más estructurada. Proporciona a los SOC una referencia clara respecto a la que medir sus capacidades de detección, respuesta y mitigación de ciberamenazas, lo que facilita la aplicación de mejoras específicas a las operaciones de seguridad.

Por último, el marco enriquece la inteligencia sobre ciberamenazas gracias a que ofrece un método detallado y organizado para categorizar los comportamientos de los ciberdelincuentes e intercambiar información sobre ellos. Este enriquecimiento ayuda a las organizaciones a conocer mejor el panorama de amenazas y, por tanto, a prepararse de forma más eficaz para combatir los posibles ciberataques.

Implementación del marco MITRE ATT&CK

Para empezar a usar el marco MITRE ATT&CK, consulte la página de introducción. Eche también un vistazo a la sección de recursos del sitio web y al blog para informarse sobre otros proyectos relacionados y casos de uso, y obtener más material. El marco ATT&CK presenta todas las tácticas y técnicas de ataque de forma sencilla y clara. En cada columna, se muestran las tácticas de ataque en la parte superior y las técnicas individuales, en la inferior.

ATT&CK se estructura como una matriz en la que cada secuencia de ataque consta al menos de una técnica por táctica. Avanzando de izquierda a derecha, se puede ensamblar una secuencia de ataque completa (desde el acceso inicial hasta el comando y control). Es posible que se utilicen varias técnicas para ejecutar una sola táctica. Por ejemplo, un ataque de spear phishing puede recurrir a la vez tanto a un archivo adjunto como a un enlace.

ATT&CK se puede utilizar de diversas formas para mejorar las operaciones de seguridad, la inteligencia sobre amenazas y la arquitectura de seguridad. Veamos algunos de los principales casos de uso:

• Emulación del ataque
• Programas de Red Team
• Desarrollo de análisis de comportamiento
• Evaluación de carencias defensivas
• Evaluación de la madurez del SOC
• Inteligencia sobre ciberamenazas

Para los proveedores que participan, las evaluaciones de MITRE Engenuity ATT&CK son una oportunidad de detectar áreas susceptibles de mejora (por ejemplo, les permiten actualizar las reglas de prevención, detección y respuesta en que se basan las políticas de ciberseguridad). Aunque no se establece una clasificación de los proveedores ni se otorgan puntuaciones globales que permitan compararlos entre sí, las pruebas proporcionan un resumen independiente de las distintas metodologías utilizadas por los profesionales de la seguridad para detectar y prevenir las campañas de ataque más sofisticadas.

Descubra cómo implementar e identificar las técnicas MITRE ATT&CK más pertinentes para los datos confidenciales de su empresa: ¿Cómo implemento técnicas MITRE ATT&CK?

Retos a la hora de implementar el marco MITRE ATT&CK

En marzo de 2022, se publicó la cuarta ronda de evaluaciones, que prestaba especial atención a Wizard Spider y Sandworm. Wizard Spider es un grupo delictivo que actúa movido por intereses económicos y que, desde agosto de 2018, ha puesto la mira en grandes corporaciones, entre las que se encuentran varios hospitales. Sandworm es un grupo de amenazas ruso especialmente destructivo que en 2015 y 2016 atacó a varias empresas eléctricas del Reino Unido y al que se conoce sobre todo por los ataques NotPetya de 2017.

Turla es un grupo de ciberdelincuencia de fama internacional que lleva activo al menos desde principios de los 2000. A día de hoy, ha propagado infecciones en más de 45 países de todo el mundo. Es conocido por atacar organismos gubernamentales, misiones diplomáticas, grupos militares, organizaciones de investigación y medios de comunicación. Turla utiliza herramientas internas y de código abierto para mantener la seguridad de sus operaciones; por ejemplo, cuenta con una red de comando y control, y recurre a varias técnicas sofisticadas y de código abierto.

Según MITRE Engenuity, en esta última ronda de evaluaciones se observó una mejora considerable de los productos de los proveedores, como Palo Alto Networks. La atención se centró en las funciones de defensa basadas en la información disponible sobre las amenazas y en una mayor priorización del marco ATT&CK. Aquí encontrará más información sobre los resultados de la evaluación.

MITRE ATT&CK para CISO

En el ámbito de la seguridad, el marco MITRE ATT&CK es fundamental. Recopila casos de uso y datos reales para detallar las tácticas de los atacantes y medidas para combatirlas. El marco MITRE ATT&CK proporciona a los directores de seguridad de la información (CISO) una ventaja estratégica en materia de ciberseguridad respecto a los actores de amenazas, ya que ofrece herramientas e inteligencia sobre amenazas práctica para mejorar la estrategia de seguridad de su organización. A continuación, se indican algunos ejemplos.

• Una completa base de conocimientos sobre las tácticas y técnicas que utilizan los atacantes, que se basa en la observación de amenazas de ciberseguridad reales y ayuda a los equipos de seguridad a prepararse, detectar y responder a los ciberataques.
• Un lenguaje común que facilita la comunicación sobre ciberseguridad entre los equipos de seguridad y las partes interesadas internas y externas.
• Una arquitectura de referencia que los equipos del SOC pueden usar como estándar con el que comparar su estrategia de seguridad y para identificar posibles amenazas y vulnerabilidades.
• Información práctica sobre las novedades en malware y otras tácticas utilizadas por los adversarios, que ayudan a los CISO a entender patrones de ataque complejos y abordar casos de uso reales.

Historia y evolución del marco MITRE ATT&CK

MITRE es una organización imparcial y sin ánimo de lucro con sedes en Bedford (Massachusetts) y McLean (Virginia). Se creó con el objetivo de proporcionar al Gobierno federal orientaciones técnicas y de ingeniería.

En 2013, el marco MITRE ATT&CK se desarrolló como parte de un proyecto de investigación de MITRE para documentar los TTP que utilizan los grupos de amenazas avanzadas persistentes (APT) contra las grandes empresas. Se creó para responder a la necesidad de describir los TTP de los ciberdelincuentes que se utilizarían en un proyecto de investigación de MITRE llamado FMX.

El objetivo del proyecto FMX era averiguar cómo se podían utilizar los análisis y datos de telemetría de los endpoints para mejorar la detección de atacantes en redes empresariales después de una intrusión. El marco ATT&CK sirvió para probar la eficacia de los sensores y análisis bajo el proyecto FMX y definió un lenguaje común que podrían utilizar tanto los equipos de seguridad ofensiva como los de seguridad defensiva para mejorar con el tiempo.

En el año 2015, MITRE ATT&CK ya era de acceso público y se podía descargar de forma gratuita en todo el mundo. Hoy en día, ayuda a los equipos de seguridad de organizaciones de todos los sectores a entender mejor las amenazas a las que se enfrentan y a proteger sus sistemas de ellas.

El marco MITRE ATT&CK ha seguido evolucionando para satisfacer las necesidades de los nuevos casos de uso de ciberseguridad en materia de inteligencia sobre amenazas. En un principio, MITRE ATT&CK se desarrolló para abordar las amenazas que afectaban a un solo entorno (los sistemas Windows empresariales), pero su dominio de aplicación se ha ampliado a los ciberataques contra los entornos Linux y macOS, los dispositivos móviles, las plataformas en la nube, la infraestructura de red, las tecnologías de contenedor y los sistemas de control industrial (ICS), entre otros.

Descubra cómo se ha ido adaptando MITRE ATT&CK y su repercusión en las estrategias de ciberseguridad: ¿Cómo ha mejorado, se ha adaptado y ha evolucionado MITRE ATT&CK?

Más información sobre MITRE ATT&CK

Obtenga más información sobre el marco MITRE ATT&CK y las evaluaciones realizadas con Cortex XDR de Palo Alto Networks.

Para obtener más información sobre el marco ATT&CK, visite MITRE.org. No se pierda la herramienta ATT&CK Navigator que le ayudará a recorrer y visualizar las técnicas de ATT&CK, así como a tomar notas.

El marco MITRE ATT&CK y Cortex XDR

Cortex XDR ayuda a detener los ataques modernos aplicando la inteligencia artificial y los análisis de comportamiento a los datos de los endpoints, las redes, la nube y fuentes externas. Unifica la prevención, detección, investigación y respuesta en una sola plataforma para garantizar una seguridad y una eficiencia operativa sin parangón.

Cortex XDR brinda una cobertura insuperable de las técnicas descritas en MITRE ATT&CK y siempre demuestra un rendimiento excepcional en las pruebas independientes del sector, como las evaluaciones MITRE Engenuity ATT&CK.

Preguntas frecuentes sobre MITRE ATT&CK