MITRE ATT&CK Framework: El Lenguaje Común para Entender y Combatir Ciberataques

En un entorno donde los ataques evolucionan constantemente, los equipos de seguridad necesitan algo más que firewalls y antivirus. Necesitan contexto. El MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge) es hoy por hoy una de las herramientas más importantes para entender cómo actúan los adversarios y cómo defenderse eficazmente.

Desarrollado por MITRE Corporation, ATT&CK es una base de datos estructurada de tácticas, técnicas y procedimientos (TTPs) utilizados por actores maliciosos reales. Más que una lista de amenazas, ATT&CK es un lenguaje común que permite describir, analizar y mejorar nuestras defensas basadas en evidencia empírica.

¿Qué es MITRE ATT&CK?

Es un marco que organiza las acciones de los atacantes en tres niveles jerárquicos:

• Tácticas: El objetivo general de una fase del ataque (e.g., “Ejecución”, “Persistencia”, “Exfiltración”).
• Técnicas: Cómo se logra ese objetivo (e.g., uso de PowerShell, servicios remotos, tareas programadas).
• Subtécnicas: Variantes más específicas de una técnica (e.g., ejecución vía PowerShell como subtécnica de ejecución).

ATT&CK permite mapear comportamientos conocidos de grupos como APT28, FIN7 o Lazarus, y compararlos con la postura defensiva de una organización.

Principales Tácticas en MITRE ATT&CK (Enterprise Matrix)

Táctica	Objetivo del Atacante	Ejemplo Real
Reconocimiento	Identificar objetivos y recolectar información previa al ataque.	Uso de motores de búsqueda para recopilar correos de empleados.
Desarrollo de Recursos	Preparar la infraestructura del ataque (dominios, cuentas, malware).	Registro de dominios como “corp-mail[.]support” para phishing.
Acceso Inicial	Obtener acceso a la red víctima.	Campañas de spear phishing con archivos adjuntos infectados.
Ejecución	Ejecutar código malicioso en sistemas comprometidos.	Uso de PowerShell para descargar y ejecutar payloads.
Persistencia	Mantener el acceso tras reinicios o cierres de sesión.	Creación de tareas programadas ocultas.
Elevación de Privilegios	Obtener mayores permisos dentro del sistema.	Explotación de vulnerabilidades para ejecutar como administrador.
Evasión de Defensa	Evitar ser detectado por soluciones de seguridad.	Uso de cifrado o inyección de procesos.
Acceso a Credenciales	Obtener nombres de usuario y contraseñas.	Uso de Mimikatz para volcado de memoria de LSASS.
Descubrimiento	Mapear la red y recursos internos.	Comando net view para listar máquinas conectadas.
Movimiento Lateral	Expandir el acceso a otros sistemas dentro de la red.	Conexión a otras máquinas vía RDP con credenciales robadas.
Recopilación	Extraer datos internos de interés.	Buscar archivos PDF con palabras clave como “contrato” o “banco”.
Exfiltración	Enviar los datos robados fuera de la red.	Uso de Dropbox o canales cifrados HTTPS para sacar información.
Impacto	Destruir, cifrar o alterar sistemas o datos.	Ejecutar ransomware o wipers como NotPetya.

¿Por qué ATT&CK es clave para los CISOs y CTOs?

• Permite mapear incidentes a técnicas específicas del adversario.
• Facilita la priorización de controles defensivos por riesgo real.
• Sirve como base para ejercicios de threat hunting y red teaming.
• Fomenta la madurez organizacional con un lenguaje estandarizado entre equipos técnicos y directivos.

Cómo usar ATT&CK en la práctica

• Evalúa tu postura de detección usando la matriz ATT&CK (¿Detectas T1059? ¿Y T1071?).
• Desarrolla casos de uso en tu SIEM basados en técnicas específicas.
• Haz simulaciones (Purple Team) mapeadas a ATT&CK para validar tus defensas.
• Consulta los perfiles de grupos como APT29 o FIN7 y compara su TTP con tus controles actuales.

Ventajas clave del framework

• Basado en inteligencia de amenazas reales y pública.
• Gratuito, actualizable y ampliamente adoptado por gobiernos y empresas.
• Disponible para entornos Enterprise, Mobile y Cloud.
• Integrado con herramientas como Sigma, Splunk, Microsoft Defender y Elastic SIEM.

Conclusión

El MITRE ATT&CK Framework es mucho más que una referencia técnica: es una herramienta estratégica que permite alinear defensa, monitoreo, respuesta y mejora continua. Si tu equipo aún no lo utiliza, es momento de integrarlo en tus procesos, entrenamientos y decisiones de inversión.

¿Ya sabes cómo te atacan? Entonces puedes saber cómo defenderte.

---

Bibliografía y Recursos Recomendados

• MITRE ATT&CK – Página Oficial
• Grupos de Amenazas APT en MITRE
• MITRE ATT&CK con Splunk
• Elastic Security con ATT&CK
• CISA y Frameworks de Seguridad

Autor: Héctor Herrera – CEO ActivosTI

La Pirámide del Dolor: Cómo Aumentar el Costo del Ataque y Fortalecer tu Estrategia de Defensa

En el dinámico mundo de la ciberseguridad, los líderes tecnológicos enfrentan el reto constante de optimizar recursos y anticiparse a los movimientos de actores maliciosos. Frente a esta realidad, la Pirámide del Dolor, desarrollada por David J. Bianco, se ha convertido en un marco estratégico esencial para priorizar esfuerzos de detección y respuesta.

La pirámide clasifica los indicadores de compromiso (IoCs) según el grado de dificultad que representa para un atacante adaptarse si dichos indicadores son detectados o bloqueados. Cuanto más alto se sube en la pirámide, mayor es el dolor para el atacante, pero también mayor el esfuerzo que requiere la defensa.

Niveles de la Pirámide del Dolor: Explicación Detallada y Ejemplos

Nivel	Indicador	Descripción y Ejemplos Reales	Dificultad para el Atacante
1	Hashes de Archivos	Los hashes son huellas digitales únicas de archivos (MD5, SHA1, SHA256). Aunque son fáciles de detectar con AV o EDR, también son triviales de evadir. Ejemplo: Un archivo "ransom.exe" con hash d41d8cd98f00b204e9800998ecf8427e puede ser recompilado o levemente modificado para generar un hash completamente distinto, evitando la detección basada en firmas.	Muy baja
2	Direcciones IP	Se refiere a las IPs usadas por los atacantes para conectarse a sistemas comprometidos o comandar malware. Aunque los firewalls pueden bloquear estas IPs, los atacantes suelen usar IPs dinámicas, VPNs o servicios en la nube. Ejemplo: Un atacante que controla un servidor en AWS con IP pública 3.121.45.90 puede lanzar otra instancia con IP nueva en minutos. Algunos botnets rotan IPs cada hora.	Baja
3	Dominios	Aunque cambiar un dominio implica más esfuerzo (registro, configuración DNS, reputación), sigue siendo una táctica común. Además, los atacantes usan técnicas como Domain Generation Algorithms (DGA) para automatizar este proceso. Ejemplo: Un phishing con el dominio secure-login365.com es detectado y bloqueado. El atacante lanza un nuevo sitio secure-access365.com con apariencia idéntica.	Moderada
4	Artefactos de Red o Host	Son detalles del comportamiento que los atacantes reutilizan: nombres de archivos, cadenas de User-Agent, rutas del sistema, claves de registro o comandos específicos. Detectarlos requiere capacidades de monitoreo más avanzadas como EDR, SIEM o NDR. Ejemplo: Un atacante usa siempre el archivo C:\Users\Public\win32.tmp como dropper inicial. O configura una tarea programada llamada svchost_update para mantener la persistencia. Ejemplo de red: Todos los malware del atacante incluyen el User-Agent: Mozilla/5.0 (compatible; BotnetScanner/1.2).	Alta
5	Herramientas	Los atacantes dependen de kits de herramientas específicas. Detectar y bloquear estas herramientas interrumpe múltiples campañas simultáneamente. Cambiar de herramienta implica rediseño y prueba. Ejemplo: Bloquear todos los binarios relacionados con Cobalt Strike o Mimikatz no solo detiene una campaña, sino que obliga al atacante a buscar o desarrollar nuevas herramientas, lo cual consume tiempo y recursos. Ejemplo: Un atacante que depende de Empire para ejecutar scripts en PowerShell queda inoperante si se bloquea su payload y firmas asociadas.	Muy alta
6	Tácticas, Técnicas y Procedimientos (TTPs)	Este es el nivel más complejo: describe cómo opera el atacante. Va más allá de herramientas y artefactos, abarcando la lógica, estructura, secuencia y creatividad de sus acciones. Cambiar TTPs significa reinventar toda la operación. Ejemplo: Una APT que siempre realiza spear phishing con archivos Excel y luego ejecuta macros para obtener acceso inicial, seguida de movimientos laterales con RDP y extracción de datos vía DNS tunneling. Si este flujo es identificado y bloqueado, debe rediseñar su cadena de ataque desde cero. Framework útil: MITRE ATT&CK permite mapear y monitorear TTPs, ofreciendo ventaja táctica a los defensores.	Extrema

¿Por qué los líderes deben conocer este modelo?

• Porque permite enfocar recursos en los niveles de detección que realmente afectan la operación del adversario.
• Porque facilita decisiones de inversión en tecnologías como EDR, análisis de comportamiento, threat hunting y threat intelligence.
• Porque ayuda a diseñar una estrategia de defensa más resiliente y difícil de evadir.
• Porque convierte a la organización en un blanco menos rentable para actores sofisticados.

Recomendaciones para CISOs y CTOs

• Mapee los TTPs de amenazas relevantes usando el framework MITRE ATT&CK.
• Integre threat intelligence de calidad en sus procesos de detección y respuesta.
• Utilice controles de seguridad basados en comportamiento y no solo en firmas.
• Evalúe el impacto de su SOC no solo por alertas gestionadas, sino por el nivel de dolor generado al atacante.

Conclusión

La Pirámide del Dolor es una herramienta conceptual simple pero poderosa. Nos recuerda que no todas las detecciones valen lo mismo, y que la verdadera disuasión se logra afectando las operaciones del atacante. Como líderes, debemos aspirar a elevarnos en la pirámide para hacer que atacar nuestra organización sea tan costoso que simplemente no valga la pena.

¿Estás listo para causar verdadero dolor al adversario?

---

Bibliografía y Recursos Recomendados

• Bianco, D. J. – The Pyramid of Pain (2013)
• MITRE ATT&CK Framework – https://attack.mitre.org
• FireEye Intelligence – Current Threats and Techniques
• SANS Institute – Threat Hunting & TTPs Training
• ACSC Australia – Cyber Resilience Resources

Autor: Héctor Herrera – CEO ActivosTI

La importancia de los registros SPF, DKIM y DMARC en la configuración del DNS

Aunque este no es un blog técnico, creemos importante abordar algunos temas que impactan directamente la seguridad y reputación digital de las organizaciones. Uno de esos temas es la autenticación del correo electrónico.

Muchas empresas configuran su dominio y cuentas de correo sin saber que, si no se toman ciertas precauciones desde el DNS, están dejando la puerta abierta a múltiples riesgos como:

• La suplantación de identidad (spoofing), donde un tercero envía correos haciéndose pasar por tu dominio.
• El uso de tu dominio en campañas de phishing sin que lo sepas.
• Que tus correos legítimos lleguen a spam o sean rechazados por servicios como Gmail o Outlook.

Para evitar estos escenarios, existen tres registros clave que deben configurarse en el DNS del dominio: SPF, DKIM y DMARC. A continuación, te explicamos en qué consiste cada uno y por qué son esenciales.

1. SPF (Sender Policy Framework)

El registro SPF permite especificar qué servidores están autorizados a enviar correos en nombre de tu dominio. Esto ayuda a los servidores receptores a identificar si un mensaje proviene de una fuente legítima o no.

Ejemplo de registro SPF:

v=spf1 include:_spf.ejemploproveedor.com ~all

Si no tienes un SPF válido, es muy probable que tus correos sean marcados como sospechosos o directamente rechazados.

2. DKIM (DomainKeys Identified Mail)

DKIM agrega una firma digital única a cada correo que envías. Esta firma permite al receptor verificar que el mensaje no ha sido alterado y que efectivamente fue enviado desde un servidor autorizado por tu dominio.

Ejemplo de registro DKIM:

default._domainkey.domimio.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GC..."

Si DKIM falla, el receptor no puede confiar en la integridad del mensaje.

3. DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC une las verificaciones de SPF y DKIM y le dice al servidor receptor qué hacer si un mensaje no pasa las validaciones. También permite recibir reportes sobre el uso (o abuso) del dominio en el ecosistema de correo.

Ejemplo de registro DMARC:

_dmarc.domimio.com TXT "v=DMARC1; p=quarantine; rua=mailto:postmaster@domimio.com; adkim=s; aspf=s"

Sin DMARC, cualquier persona podría falsificar tu dominio sin consecuencias claras para el receptor.

¿Por qué son tan importantes estos registros?

• Evitan la suplantación de identidad (phishing y spoofing).
• Mejoran la entregabilidad: menos correos tuyos caerán en spam.
• Protegen la reputación de tu dominio.
• Te dan visibilidad mediante reportes automáticos sobre el uso del dominio.

Recomendación final

Verifica regularmente tu configuración DNS y asegúrate de que estos tres pilares estén correctamente establecidos. Una herramienta como MXToolbox puede ayudarte a comprobarlos en segundos.

Recomendación adicional para el Oficial de Seguridad

Si tu organización cuenta con un responsable de seguridad de la información, asegúrate de que este tema esté incluido dentro de la política de protección del correo corporativo. Además de los controles tecnológicos, es clave monitorear los reportes DMARC para detectar intentos de suplantación y tomar decisiones sobre la política (como pasar de quarantine a reject) basadas en evidencias reales.

Recuerda: proteger el correo es proteger la identidad digital de tu organización.