Descripción: Las Tácticas, Técnicas y Procedimientos (TTP) son el conjunto de comportamientos y métodos que utilizan los actores de amenazas para alcanzar sus objetivos en el ámbito de la ciberseguridad. Las TTP son fundamentales para entender cómo operan los atacantes, ya que describen no solo las herramientas que utilizan, sino también las estrategias y enfoques que emplean para infiltrarse en sistemas, evadir detección y exfiltrar datos. En el contexto de la ciberseguridad, las TTP se dividen en dos categorías principales: Red Team y Blue Team. El Red Team se enfoca en simular ataques reales para identificar vulnerabilidades, mientras que el Blue Team se encarga de defender y proteger los sistemas de información. Comprender las TTP permite a las organizaciones mejorar sus defensas y responder de manera más efectiva a las amenazas, ya que proporciona un marco para analizar y anticipar el comportamiento de los atacantes. Además, el estudio de las TTP es esencial para la formación de profesionales en ciberseguridad, ya que les ayuda a desarrollar habilidades prácticas y a implementar medidas de seguridad más robustas.
Historia: El concepto de Tácticas, Técnicas y Procedimientos (TTP) ha evolucionado a lo largo de los años, especialmente en el ámbito militar y de inteligencia, donde se utilizaba para describir las estrategias de combate. En el contexto de la ciberseguridad, el término comenzó a ganar relevancia en la década de 2000, a medida que las amenazas cibernéticas se volvieron más sofisticadas y organizadas. La comunidad de ciberseguridad empezó a adoptar el término para clasificar y analizar las acciones de los atacantes, lo que llevó a la creación de marcos como el MITRE ATT&CK, que sistematiza las TTP de los adversarios en un formato accesible y útil para los profesionales de la seguridad.
Usos: Las TTP se utilizan principalmente en la evaluación de riesgos y en la mejora de las defensas cibernéticas. Los equipos de Red Team emplean TTP para simular ataques y evaluar la efectividad de las medidas de seguridad existentes. Por otro lado, los equipos de Blue Team utilizan el conocimiento de las TTP para desarrollar estrategias de defensa, implementar controles de seguridad y realizar análisis forenses tras un incidente. Además, las TTP son útiles para la formación de personal en ciberseguridad, ya que proporcionan un marco práctico para entender el comportamiento de los atacantes.
Ejemplos: Un ejemplo de TTP en acción es el uso de phishing como técnica para obtener credenciales de acceso. Un atacante puede enviar un correo electrónico que parece legítimo, engañando a la víctima para que ingrese sus datos en un sitio web falso. Otro ejemplo es el uso de malware para establecer una puerta trasera en un sistema, permitiendo al atacante acceder y controlar el sistema de forma remota. Estos ejemplos ilustran cómo los actores de amenazas aplican tácticas específicas para lograr sus objetivos.
