IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

MITRE ATT&CK: el mapa de cómo atacan de verdad (y en qué se diferencia de un CVE)

13/07/2026 3 min de lectura Rubén Espinoza

El CVE y el CVSS describen fallas individuales: esta puerta tiene una cerradura débil, esa ventana no cierra bien. Útil, pero incompleto —porque un ataque real casi nunca es una falla suelta, sino una secuencia de movimientos: entrar, esconderse, escalar privilegios, moverse de un equipo a otro, robar datos—. Para mapear ese comportamiento existe otra herramienta, de naturaleza distinta: MITRE ATT&CK.

Qué es ATT&CK

MITRE ATT&CK es una base de conocimiento pública de tácticas y técnicas de atacantes, construida a partir de observaciones de ataques reales. No cataloga vulnerabilidades: cataloga comportamientos —cómo entran los atacantes, cómo persisten, cómo se mueven, cómo exfiltran—. La mantiene la organización MITRE, es gratuita y consultable por cualquiera en attack.mitre.org, y es un catálogo vivo que se actualiza con regularidad (la versión más reciente es de 2026).

Tácticas y técnicas: el "por qué" y el "cómo"

La estructura es más sencilla de lo que parece:

  • Táctica: el objetivo del atacante en un momento dado —por ejemplo, lograr acceso inicial, escalar privilegios, mantener persistencia o exfiltrar datos—. Es el por qué de una acción.
  • Técnica: el cómo logra esa táctica —por ejemplo, usar phishing para conseguir el acceso inicial—. Y cada técnica puede tener sub-técnicas con el detalle fino.

Todo esto se organiza en matrices: la de Enterprise (TI corporativa), más otras para entornos móviles e industriales (ICS). El resultado es un mapa de columnas (tácticas) y celdas (técnicas) que describe, de principio a fin, el repertorio conocido de los atacantes.

En qué se diferencia de un CVE

Es la distinción que ordena todo: un CVE es una puerta rota específica —una falla concreta en un producto—; ATT&CK es el manual de cómo se mueve el ladrón una vez adentro, sin importar qué puerta usó para entrar. Un atacante puede lograr la misma táctica (digamos, persistencia) mediante muchas técnicas distintas, y ATT&CK las enumera todas. Por eso son complementarios: el CVE te dice qué parchar; ATT&CK te dice qué comportamientos detectar cuando el atacante ya está dentro —o intentándolo—.

Para qué le sirve a tu empresa (aunque no tengas un SOC)

  • Lenguaje común: permite describir un ataque —o una defensa— sin ambigüedad, y que el proveedor, el equipo de TI y la dirección hablen de lo mismo.
  • Análisis de brechas de detección: mapear tus defensas contra la matriz responde una pregunta incómoda y valiosa —¿qué técnicas de ataque puedo detectar hoy, y cuáles pasarían sin que nadie se entere?—.
  • Priorizar con criterio: enfocar la inversión en defenderte de las técnicas que de verdad usan los atacantes, en lugar de perseguir el miedo del mes.

No necesitas un centro de operaciones de seguridad para aprovecharlo: basta usarlo como brújula para preguntar "¿estamos cubiertos contra esto?". Cómo se combina ATT&CK con el vocabulario de vulnerabilidades (CVE, CVSS, día cero) y con qué hacer al respecto lo unimos en la guía completa, y la detección en la práctica es justo el terreno de un NOC/SOC administrado.

#mitre att&ck #tácticas #técnicas #ciberseguridad #fundamentos #detección

Preguntas frecuentes

¿Qué es MITRE ATT&CK?

Es una base de conocimiento pública y gratuita de tácticas y técnicas de atacantes, construida a partir de observaciones de ataques reales. No cataloga vulnerabilidades sino comportamientos: cómo entran los atacantes, cómo persisten, cómo se mueven y cómo roban datos. La mantiene MITRE y se actualiza periódicamente.

¿Cuál es la diferencia entre una táctica y una técnica en ATT&CK?

Una táctica es el objetivo del atacante en un momento dado (por ejemplo, acceso inicial, escalamiento de privilegios o exfiltración): el "por qué". Una técnica es cómo logra esa táctica (por ejemplo, phishing para el acceso inicial): el "cómo". Cada técnica puede tener sub-técnicas con el detalle específico, y todo se organiza en matrices.

¿En qué se diferencia MITRE ATT&CK de un CVE?

Un CVE identifica una falla concreta en un producto (una puerta rota específica). ATT&CK describe cómo se comporta el atacante una vez que busca entrar o ya entró, sin importar qué falla usó. Son complementarios: el CVE te dice qué parchar; ATT&CK te dice qué comportamientos detectar.

¿Sirve MITRE ATT&CK si no tengo un SOC?

Sí. Aun sin un centro de operaciones de seguridad, sirve como lenguaje común para hablar de ataques y defensas sin ambigüedad, como herramienta para identificar qué técnicas de ataque podrías detectar y cuáles no, y como brújula para priorizar la inversión en defensa contra las técnicas que los atacantes usan de verdad.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

El parche que rompió todo: parchar rápido no es parchar a ciegas (sandbox, anillos y madurez)
Cómo evaluar una solución de endpoint sin caer en el "cuadrante mágico"
EDR en servidores críticos: cuando el falso positivo es peor que el malware