Las ciberamenazas no dan tregua. Los ataques digitales son más sofisticados, persistentes y orientados a objetivos específicos. En consecuencia, los marcos de trabajo en ciberseguridad deben evolucionar a la misma velocidad. Entre ellos, MITRE ATT&CK se ha consolidado como una referencia global indispensable para comprender las tácticas, técnicas y procedimientos (TTP) de los atacantes. Su más reciente actualización, la versión 18, representa un salto hacia una defensa más proactiva, basada en el análisis estructurado y en el comportamiento real de los adversarios.
Con dos actualizaciones cada año, este marco busca reflejar los cambios del panorama de amenazas. Cada nueva versión integra hallazgos provenientes del mundo real, contribuyendo así a un conocimiento colectivo que sirve tanto a gobiernos como a empresas privadas. La edición 18, lanzada en octubre pasado, introduce modificaciones en su enfoque de detección, sustituyendo los antiguos conceptos de “fuentes de datos” y “notas de detección” por estrategias y análisis de detección estructurados, con el propósito de mejorar la precisión, adaptabilidad y eficiencia de las defensas.
En particular, MITRE ATT&CK proporciona una taxonomía universal para describir los comportamientos de ataque, lo que permite a los equipos de seguridad hablar un mismo idioma y coordinar acciones de defensa de forma más efectiva. Con esta estandarización se logra una mejor comunicación entre personas, procesos y tecnologías, los tres pilares fundamentales de cualquier Centro de Operaciones de Seguridad (SOC). Además, el marco fomenta una mentalidad ofensiva controlada: invita a los defensores a pensar como un atacante, identificando vacíos en la detección y áreas de mejora.
Asimismo, la actualización ofrece una guía en el proceso de madurez de las operaciones de ciberseguridad. De este modo, los SOC pueden medir su cobertura de detección frente a las tácticas y técnicas definidas en la matriz, identificar brechas y priorizar inversiones. Permite además simular el comportamiento de adversarios, una práctica clave para los equipos de Red Team y Blue Team, quienes pueden perfeccionar sus estrategias de ataque y defensa de forma estructurada.
Beneficios para el negocio
Entre los beneficios más tangibles para el negocio que esta actualización aporta, destaca:
- Las organizaciones obtienen una cobertura táctica y operativa más realista, enfocándose en comportamientos y no únicamente en indicadores post mortem.
- Los SOC pueden desarrollar tácticas más sólidas para enfrentar amenazas tanto nuevas como conocidas, aumentando la eficiencia de sus defensas.
- Se mejora la calidad de los reportes ejecutivos, facilitando la comunicación entre áreas técnicas y de negocio mediante una taxonomía estandarizada.
- La mejora continua y el benchmarking, permitiendo comparar la cobertura actual con la deseada y planificar un crecimiento estratégico en ciberseguridad.
- Generación de casos de uso, acorde a la tecnología que tiene cada una de las organizaciones.
- Soporte para la cacería de amenazas de manera más estructurada, basada en matrices dirigidas a técnicas de alto riesgo y relevantes para la industria y la tecnología de cada organización.
¿Qué hay de nuevo?
Cómo ya se mencionó anteriormente, MITRE ATT&CK v18 integra cambios relevantes. La revisión de la detección en esta versión es quizá el cambio más significativo. Ahora, las Estrategias de Detección describen con detalle qué comportamientos específicos deben buscarse en los entornos de monitoreo, mientras que los Análisis de Plataforma proporcionan guías técnicas sobre cómo detectar dichos comportamientos, incluyendo qué fuentes de registro y telemetría son más relevantes.
En lo que respecta al dominio empresarial (Enterprise), se añadieron técnicas relacionadas con tecnologías emergentes como Kubernetes, pipelines de integración continua (CI/CD) y bases de datos en la nube; mientras que en el dominio móvil (Mobile), se ampliaron las coberturas para incluir el abuso de dispositivos vinculados a aplicaciones de mensajería como Signal o WhatsApp.
Finalmente, en el dominio de sistemas de control industrial (ICS), se agregaron nuevos tipos de activos, incluyendo controladores de sistemas distribuidos y firewalls, reflejando la convergencia entre TI y OT.
La repercusión de esta nueva versión en las operaciones de seguridad es amplia. Al ofrecer una alineación más estrecha con la detección real, los SOC pueden desarrollar flujos de trabajo más precisos y playbooks adaptativos, permitiendo ajustar las estrategias de cacería y respuesta frente a escenarios de ataque, alcanzando un nivel más alto de madurez en las métricas de eficacia y cobertura.
Adopción al alza
En cuanto a la adopción en América Latina, la región muestra avances, aunque a un ritmo más pausado que en Estados Unidos. En este último, el marco MITRE ATT&CK ha alcanzado una madurez considerable: un estudio de la Universidad de California menciona que más del 63% de las grandes corporaciones y proveedores de servicios en la nube lo emplean como eje de su estrategia de seguridad.
En cambio, en Latinoamérica la adopción se concentra principalmente en empresas multinacionales, sectores financieros y organizaciones con operaciones globales, que buscan alinearse con normativas internacionales y marcos de inteligencia de amenazas.
Y es que los retos a los que se enfrenta la región son evidentes. Muchos SOC latinoamericanos enfrentan limitaciones en presupuesto, calidad de logs y falta de especialistas con experiencia en detección avanzada y cacería de amenazas.
En conclusión, adoptar MITRE ATT&CK en América Latina no sólo es viable, es una necesidad y tiene un valor estratégico para las organizaciones con operaciones mundiales, regionales y locales. Las que lo hagan tendrán una mayor capacidad de detección, respuesta, alineación global, ventaja competitiva, cumplimiento normativo y podrán ser un referente de éxito en la implementación de este tipo de marcos de trabajo.
