El CVE y el CVSS describen fallas individuales: esta puerta tiene una cerradura débil, esa ventana no cierra bien. Útil, pero incompleto —porque un ataque real casi nunca es una falla suelta, sino una secuencia de movimientos: entrar, esconderse, escalar privilegios, moverse de un equipo a otro, robar datos—. Para mapear ese comportamiento existe otra herramienta, de naturaleza distinta: MITRE ATT&CK.
Qué es ATT&CK
MITRE ATT&CK es una base de conocimiento pública de tácticas y técnicas de atacantes, construida a partir de observaciones de ataques reales. No cataloga vulnerabilidades: cataloga comportamientos —cómo entran los atacantes, cómo persisten, cómo se mueven, cómo exfiltran—. La mantiene la organización MITRE, es gratuita y consultable por cualquiera en attack.mitre.org, y es un catálogo vivo que se actualiza con regularidad (la versión más reciente es de 2026).
Tácticas y técnicas: el "por qué" y el "cómo"
La estructura es más sencilla de lo que parece:
- Táctica: el objetivo del atacante en un momento dado —por ejemplo, lograr acceso inicial, escalar privilegios, mantener persistencia o exfiltrar datos—. Es el por qué de una acción.
- Técnica: el cómo logra esa táctica —por ejemplo, usar phishing para conseguir el acceso inicial—. Y cada técnica puede tener sub-técnicas con el detalle fino.
Todo esto se organiza en matrices: la de Enterprise (TI corporativa), más otras para entornos móviles e industriales (ICS). El resultado es un mapa de columnas (tácticas) y celdas (técnicas) que describe, de principio a fin, el repertorio conocido de los atacantes.
En qué se diferencia de un CVE
Es la distinción que ordena todo: un CVE es una puerta rota específica —una falla concreta en un producto—; ATT&CK es el manual de cómo se mueve el ladrón una vez adentro, sin importar qué puerta usó para entrar. Un atacante puede lograr la misma táctica (digamos, persistencia) mediante muchas técnicas distintas, y ATT&CK las enumera todas. Por eso son complementarios: el CVE te dice qué parchar; ATT&CK te dice qué comportamientos detectar cuando el atacante ya está dentro —o intentándolo—.
Para qué le sirve a tu empresa (aunque no tengas un SOC)
- Lenguaje común: permite describir un ataque —o una defensa— sin ambigüedad, y que el proveedor, el equipo de TI y la dirección hablen de lo mismo.
- Análisis de brechas de detección: mapear tus defensas contra la matriz responde una pregunta incómoda y valiosa —¿qué técnicas de ataque puedo detectar hoy, y cuáles pasarían sin que nadie se entere?—.
- Priorizar con criterio: enfocar la inversión en defenderte de las técnicas que de verdad usan los atacantes, en lugar de perseguir el miedo del mes.
No necesitas un centro de operaciones de seguridad para aprovecharlo: basta usarlo como brújula para preguntar "¿estamos cubiertos contra esto?". Cómo se combina ATT&CK con el vocabulario de vulnerabilidades (CVE, CVSS, día cero) y con qué hacer al respecto lo unimos en la guía completa, y la detección en la práctica es justo el terreno de un NOC/SOC administrado.