De contexto a confianza: el futuro de la detección según MITRE CTID
MITRE CTID investigó las técnicas ambiguas en ATT&CK y propone un modelo de confianza con 6 métricas para priorizar telemetría. Del recolectar todo al mínimo efectivo.
El problema que todo analista conoce
¿Cuántas veces has visto una alerta y no puedes determinar si es maliciosa o legítima?
Ese es exactamente el problema que MITRE Center for Threat-Informed Defense (CTID) acaba de abordar en su nueva investigación sobre técnicas ambiguas en ATT&CK — y los resultados son muy relevantes para quienes trabajamos en detección y respuesta.
Qué proponen
En lugar de recolectar todos los logs posibles (el error más común en los SOC), identificaron el conjunto mínimo de telemetría que realmente permite distinguir actividad maliciosa de legítima.
El modelo de confianza se basa en 6 métricas concretas:
| Métrica | Qué evalúa |
|---|---|
| Fidelidad del dato | ¿Qué tan preciso y completo es el dato recolectado? |
| Nivel de ruido | ¿Cuánta actividad legítima genera falsos positivos? |
| Oportunidad de reporte | ¿El dato está disponible cuando se necesita para la detección? |
| Robustez ante evasión | ¿Qué tan difícil es para el adversario evadir esta telemetría? |
| Cobertura de implementaciones | ¿En cuántos entornos reales se puede implementar? |
| Aporte de contexto | ¿Cuánta información adicional provee para la investigación? |
Del “recolectar todo” al mínimo efectivo
El paradigma anterior era simple: más datos = mejor detección.
La realidad demostró lo contrario:
- SOCs ahogados en alertas que no pueden procesar
- Costos de almacenamiento que escalan sin control
- Analistas fatigados por el ruido constante
- Técnicas ambiguas que generan los mismos eventos que actividad legítima
El nuevo paradigma propone máxima calidad con telemetría mínima: identificar exactamente qué datos necesitas para distinguir lo malicioso de lo legítimo, y enfocarte en esos.
Por qué importa en LATAM
Porque nuestro problema no es falta de tecnología — es priorización inadecuada de telemetría y ausencia de marcos para justificar inversiones ante la alta dirección.
Este modelo convierte conversaciones cualitativas (“este log parece útil”) en puntajes estructurados y defendibles ante un CISO, un directorio o un regulador.
Aplicación práctica
En vez de decir: “Necesitamos más logs del Active Directory”
Ahora puedes decir: “La telemetría de eventos 4688 (Process Creation) tiene fidelidad alta, ruido medio y robustez baja ante evasión. Para la técnica T1059 (Command and Scripting Interpreter), necesitamos complementar con Sysmon Event ID 1 que aporta contexto de línea de comandos completa y tiene robustez alta.”
Eso es un argumento que un directorio puede entender y aprobar.
Para entornos OT/ICS
En entornos OT/ICS, donde no puedes instalar agentes en todo, la filosofía de máxima calidad con telemetría mínima es especialmente valiosa.
- No puedes poner un EDR en un PLC
- Los switches industriales tienen capacidades limitadas de logging
- La latencia de los sensores de red debe ser mínima
- Cada punto de monitoreo debe justificar su presencia
El modelo de MITRE CTID proporciona exactamente el framework para tomar esas decisiones de forma estructurada.
Referencia
Cunningham, M., & Feffer, A. (2026). Context to confidence: The next phase of ambiguous techniques research. MITRE Center for Threat-Informed Defense.