ACTIVIDAD #5

Las metodologías y marcos de referencia en ciberseguridad permiten estandarizar procesos de evaluación, detección y respuesta ante amenazas. Su correcta selección depende del objetivo del ejercicio (auditoría, pentesting, monitoreo o cumplimiento normativo) y del contexto organizacional.

A continuación, se presenta un análisis comparativo con enfoque técnico y aplicado a escenarios reales de seguridad informática.

MITRE ATT&CK

  • Definición general: Marco de conocimiento que documenta tácticas, técnicas y procedimientos (TTPs) utilizados por atacantes reales en distintos entornos (Enterprise, Mobile y Cloud).
  • Estructura metodológica: Se organiza en tácticas (objetivos del atacante) y técnicas/subtécnicas, no en fases secuenciales tradicionales.
  • Propósito central: Mejorar la detección, la respuesta y el análisis de amenazas mediante mapeo de comportamientos adversarios.
  • Ámbitos de aplicación: Centros de Operaciones de Seguridad (SOC), equipos Blue Team, Red Team y análisis de inteligencia de amenazas.
  • Enfoque: Defensa estratégica y evaluación técnica.
  • Organismo responsable: MITRE Corporation.
  • Certificaciones asociadas: No posee certificación oficial propia, pero es ampliamente usado en programas de formación avanzada.
  • Actualización: Versiones con mejoras continuas y ampliación de técnicas.

OWASP WSTG (Web Security Testing Guide)

  • Definición general: Guía metodológica para la evaluación de vulnerabilidades en aplicaciones web.
  • Fases de trabajo: Recolección de información, análisis de configuración, pruebas de autenticación, autorización, validación de entradas, explotación controlada y reporte.
  • Propósito central: Identificar fallas como inyección SQL, XSS, fallas de autenticación o mala configuración.
  • Ámbitos de aplicación: Bancos, fintech, plataformas de comercio electrónico y cualquier sistema web expuesto a Internet.
  • Enfoque: Evaluación técnica y hacking ético.
  • Organismo responsable: OWASP Foundation.
  • Certificaciones relacionadas: Base de conocimiento para certificaciones como eWPT y preparación para OSCP.
  • Versión vigente: Serie 4.x en uso activo.

NIST SP 800-115

  • Definición general: Guía técnica para pruebas y evaluación de seguridad en sistemas de información.
  • Etapas metodológicas: Planeación, descubrimiento, pruebas técnicas (escaneo y explotación controlada) y elaboración de informe.
  • Propósito central: Gestionar riesgos y asegurar cumplimiento en entornos gubernamentales y corporativos.
  • Ámbitos de aplicación: Dependencias gubernamentales, empresas con requisitos regulatorios y auditorías formales.
  • Enfoque: Evaluación estructurada orientada a cumplimiento.
  • Organismo responsable: National Institute of Standards and Technology (NIST).
  • Certificaciones relacionadas: Marco de referencia conceptual para CISSP y CISA.
  • Estado: Documento vigente como referencia técnica.

OSSTMM

  • Definición general: Metodología integral que evalúa seguridad en redes, telecomunicaciones, procesos humanos y seguridad física.
  • Componentes metodológicos: Análisis de vectores operativos, medición mediante métricas cuantitativas (RAV), validación técnica y reporte.
  • Propósito central: Medir el nivel real de exposición y seguridad operativa.
  • Ámbitos de aplicación: Auditorías empresariales completas y evaluaciones de infraestructura crítica.
  • Enfoque: Auditoría técnica cuantificable.
  • Organismo responsable: ISECOM (Institute for Security and Open Methodologies).
  • Certificaciones: No cuenta con certificación oficial ampliamente adoptada.
  • Versión vigente: Serie 3.x.

PTES (Penetration Testing Execution Standard)

  • Definición general: Estándar práctico que estructura pruebas de penetración profesionales.
  • Fases: Pre-engagement, recopilación de información, modelado de amenazas, explotación, post-explotación y reporte.
  • Propósito central: Ejecutar pruebas de intrusión completas y documentadas.
  • Ámbitos de aplicación: Consultoras de ciberseguridad y servicios de ethical hacking.
  • Enfoque: Ataque controlado y evaluación técnica.
  • Responsable: Comunidad abierta PTES.
  • Certificaciones relacionadas: Referencia conceptual para OSCP y CEH.
  • Estado: Estándar activo mantenido por comunidad.

ISSAF (Information Systems Security Assessment Framework)

  • Definición general: Marco metodológico para evaluación técnica y organizacional de seguridad.
  • Fases: Recopilación de información, mapeo de infraestructura, explotación controlada y análisis de resultados.
  • Propósito central: Evaluar infraestructura tecnológica y controles administrativos.
  • Ámbitos de aplicación: Auditorías tradicionales de seguridad.
  • Enfoque: Evaluación técnica estructurada.
  • Organismo responsable: Open Information Systems Security Group (OISSG).
  • Actualización: Marco con menor mantenimiento en la actualidad.

Conclusión

Cada metodología analizada responde a necesidades distintas dentro del ecosistema de la seguridad informática. Mientras que MITRE ATT&CK fortalece la detección basada en comportamiento adversario, OWASP WSTG y PTES se enfocan en pruebas técnicas ofensivas, y NIST SP 800-115 proporciona una estructura formal alineada a gestión de riesgos y cumplimiento normativo.

En el contexto profesional en México y Latinoamérica, la selección adecuada de una metodología depende del nivel de madurez de la organización. Empresas con procesos formales suelen adoptar marcos como NIST, mientras que equipos técnicos de pentesting se apoyan en PTES u OWASP. Por su parte, los SOC modernos integran MITRE ATT&CK para mapear eventos detectados y mejorar su capacidad de respuesta.

Comprender las diferencias conceptuales y operativas entre estos marcos permite aplicar el enfoque correcto según el objetivo: auditoría, evaluación ofensiva, cumplimiento o fortalecimiento de capacidades defensivas.

Referencias

  • MITRE ATT&CK – Sitio oficial: https://attack.mitre.org
  • OWASP Web Security Testing Guide: https://owasp.org/www-project-web-security-testing-guide/
  • NIST SP 800-115 (Guía técnica): https://csrc.nist.gov/publications/detail/sp/800-115/final
  • OSSTMM – ISECOM: https://www.isecom.org/OSSTMM.3.pdf
  • PTES – Penetration Testing Execution Standard: http://www.pentest-standard.org/
  • ISSAF – Documentación académica: https://bibdigital.epn.edu.ec/handle/15000/16740