¿Qué es la matriz MITRE ATT&CK?

Autor: | Última modificación: 9 de septiembre de 2022 | Tiempo de Lectura: 4 minutos

¿Qué es la matriz MITRE ATT&CK y por qué la encontramos en muchas de las herramientas de análisis de malware? Con el paso de las décadas, los ciberataques han ido evolucionando hacia técnicas más complejas, elaboradas y difíciles de detectar. Además de los sistemas antivirus tradicionales, las compañías y organizaciones deben contar con sistemas de ciberseguridad que monitoreen y protejan de manera eficaz los sistemas.

Anteriormente y aún en la actualidad, la protección contra malwares y amenazas cibernéticas se basó en el reporte de incidentes y clasificación de vulnerabilidades. Sin embargo, en un momento histórico en el que surgen variantes de malwares avanzados a diario, es necesario contar con herramientas más potentes.

Las herramientas de análisis y detección de malware más efectivas son aquellas que, además de contar con bases de datos con firmas actualizadas, monitorean el comportamiento del sistema en búsqueda de actividades maliciosas. De este modo, si una amenaza penetra las barreras de seguridad, podrá ser detectada y aislada cuando comience a funcionar.

¿Cómo se pueden detectar amenazas de día cero a partir de reglas de comportamiento? ¿Qué herramientas de código abierto nos permiten hacer estos análisis? En este post, daremos respuesta a estas preguntas y te explicaremos qué es la matriz MITRE ATT&CK.

¿Qué es la matriz MITRE ATT&CK?

MITRE ATT&CK es un framework de código abierto desarrollado por Mitre Corporation que cumple con la función de detectar y describir el comportamiento de una amenaza cibernética desde la perspectiva de las intenciones de un atacante. MITRE ATT&CK revela las técnicas y estrategias que utilizan los hackers de sombrero negro para atacar sistemas y, por lo tanto, ayuda en el desarrollo de mecanismo de defensa contra ellos.

La iniciativa de desarrollar este marco de trabajo surgió a partir de la evolución de la complejidad y el peligro de los ciberataques de día cero. Las antiguas reglas para clasificar vulnerabilidades y malware no eran suficientes para detener los ataques más modernos y las amenazas persistentes avanzadas. Por eso, las empresas Lockheed Martin y Mitre Corporation desarrollaron herramientas que estuviesen al día.

Lockheed Martin desarrolló un sistema similar llamado Cyber Kill Chain: una cadena de siete pasos que enseña el ciclo de vida del ciberataque. El reporte comprende desde la fase inicial, es decir, el vector de ataque, hasta fases finales como la encriptación de archivos y/o exfiltración de datos.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Para entender qué es la matriz MITRE ATT&CK y cómo surgió, describimos con mayor nivel de detalle las fases de un ciberataque:

  • Vector de ataque.
  • Explotación.
  • Postexplotación.
  • Exfiltración de datos.
  • Payload.

Además, es una herramienta altamente utilizada dentro de otras aplicaciones, ya que puede ser integrada en otras herramientas. Por eso, es importante saber qué es la matriz MITRE ATT&CK, ya que la encontraremos frecuentemente en herramientas de análisis de malware.

Fases de un ciberataque

Algunas aplicaciones web de análisis de malware, como Joe Sandbox o ANY.RUN, incluyen en sus reportes matrices de MITRE ATT&CK para describir las fases del ciberataque. De hecho, esta matriz es una buena herramienta para enseñarle a alguien inexperto los procedimientos que ejecuta el malware en sus sistemas. Usualmente, las fases del ciberataque incluyen:

Vector de ataque

El vector de ataque es el canal escogido por el hacker de sombrero negro para llegar al sistema de la víctima. El vector de ataque más utilizado es el correo electrónico, por medio del cual se pueden enviar enlaces y ficheros maliciosos y engañar a los usuarios para que los ejecuten.

También existen otras alternativas, como los virus troyanos, que son programas que se hacen pasar por aplicaciones gratuitas o pirateadas.

Un vector de ataque puede ser incluso sobornar a un empleado o infiltrarse en una compañía para ejecutar un malware o robar información.

Explotación

La explotación es el uso de vulnerabilidades para obtener acceso al sistema de la víctima. Las vulnerabilidades son fallos informáticos como:

  • Fallos criptográficos.
  • Fallos de programación.
  • Fallos de configuración.

Los exploits son programas que se utilizan durante esta fase y son softwares diseñados específicamente para infiltrarse en sistemas informáticos aprovechando sus fallos de seguridad.

Postexplotación

Conocer las técnicas de postexplotación es importante para aprender qué es la matriz MITRE ATT&CK, ya que esta reconoce los siguientes procesos:

  • Movimiento lateral o propagación a través de la red.
  • Escalada de privilegios para ejecución de código en la máquina.
  • Conexión con servidores maliciosos.
  • Descarga de malware o ficheros sospechosos.
  • Encriptación de ficheros (típico del ransomware).

Exfiltración de datos

Si observamos qué es la matriz MITRE ATT&CK, notaremos que el framework también especifica cuándo un malware roba información del sistema antes ejecutar el payload.

Payload

La última fase que debes conocer para entender qué es la matriz MITRE ATT&CK es la fase de payload, que se refiere a las tareas maliciosas finales del malware, que pueden ser encriptar archivos (en el caso de un ransomware), espiar información y actividades del sistema (spyware), utilizar la capacidad de la memoria para minar criptomonedas o generar ciberataques (botnet), entre otros.

¿Cómo aprender más?

Ahora sabes qué es la matriz MITRE ATT&CK y por qué se utiliza en ciberseguridad. Si quieres aprender más con la guía de expertos en hacking ético, análisis de malware, criptografía y mucho más, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡Inscríbete!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!