Hackers más astutos y manuales más voluminosos: publicada la nueva edición del principal compendio sobre ataques digitales
Las normas habituales de protección han sido declaradas oficialmente obsoletas.
MITRE publicó ATT&CK v19 — una importante actualización del marco que usan los equipos de seguridad para describir las tácticas y técnicas de los atacantes. La nueva versión cambia notablemente la estructura habitual: los desarrolladores dividieron la categoría demasiado amplia Defense Evasion, añadieron más detalles para sistemas industriales y ampliaron la cobertura de ataques que utilizan IA, ingeniería social y amenazas móviles.
El cambio principal afectó la táctica Defense Evasion. Antes incluía tanto intentos de los atacantes de ocultarse en la infraestructura como acciones destinadas a deshabilitar las medidas de defensa. En ATT&CK v19 la categoría anterior fue reemplazada por dos direcciones:
- Stealth describe el camuflaje del comportamiento, el uso de utilidades legítimas con fines maliciosos, la ofuscación de la carga útil y la suplantación de procesos por confiables.
- Defense Impairment abarca la desactivación de EDR, la manipulación de registros, eludir mecanismos de confianza y otras acciones que dañan la protección.
Debido a la reestructuración, algunas técnicas recibieron nuevos identificadores. MITRE advirtió por separado a los equipos que mapean sus reglas e informes con T1562, ya que la técnica anterior Impair Defenses y varias de sus subtécnicas se combinaron y se reformularon como T1685 Disable or Modify Tools. También aparecieron T1687 Exploitation for Defense Impairment y T1686.003 Disable or Modify System Firewall: Windows Host Firewall.
ATT&CK v19 amplía la descripción de ataques en los que los atacantes usan IA. La nueva técnica T1682 Query Public AI Services describe las consultas a servicios públicos de IA para reconocimiento de objetivos y planificación de operaciones. T1683 Generate Content abarca la preparación de contenido textual, de audio y visual, incluidos materiales creados manualmente, por contratistas o con ayuda de IA. Ingeniería social ahora se ha colocado como técnica principal separada T1684, a la que se trasladaron la suplantación de identidad y el spoofing de correo electrónico.
La matriz para sistemas industriales se volvió más precisa. MITRE añadió subtécnicas para modificar firmware, bloquear comunicaciones por Serial COM, Ethernet y Wi‑Fi, descubrimiento remoto de sistemas, carga de software en controladores y abuso de credenciales inseguras. Ese nivel de detalle ayuda a correlacionar con mayor precisión el comportamiento de los atacantes con la telemetría y las comprobaciones de integridad.
El ámbito móvil también recibió una actualización notable. Las estrategias de detección ahora cubren parte de las técnicas para Mobile y ofrecen pautas prácticas para Android e iOS. En la matriz se añadieron VajraSpy, DocSwap y Crocodilus, y la técnica Phishing se actualizó teniendo en cuenta el vishing, en el que los atacantes clonan voces con ayuda de IA.
En la sección de ciberinteligencia MITRE añadió nueva información sobre grupos iraníes y chinos, malware para ataques a dispositivos de red, campañas con wipers, compromisos del ecosistema npm y herramientas empleadas en operaciones de extorsión. Se destacan por separado Anthropic AI-orchestrated Campaign y LAMEHUG, relacionado con el uso de un gran modelo de lenguaje en operaciones reales.
La actualización ATT&CK muestra que a los defensores ya no les basta con conocer el conjunto de tácticas de los atacantes: deben entender con mayor precisión su objetivo, el contexto de las acciones y las huellas en diferentes entornos, de lo contrario incluso una técnica conocida puede pasar inadvertida.