¿Que es un Threat-Compliance Intelligence Map (TCIM)?

Es una metodologia que conecta tecnicas de ataque reales (MITRE ATT&CK) con controles regulatorios especificos (ENS, NIS2, DORA, ISO 27001). En lugar de tratar amenazas y compliance como silos separados, TCIM crea un mapa bidireccional que permite priorizar controles segun el riesgo real del sector, identificar gaps regulatorios ante amenazas emergentes y justificar inversiones de seguridad con datos de threat intelligence.

¿Como se diferencia TCIM de un gap analysis tradicional?

Un gap analysis compara el estado actual contra un framework completo de controles sin priorizar. TCIM incorpora inteligencia de amenazas para ponderar cada control segun la probabilidad real de que las tecnicas que cubre sean utilizadas contra la organizacion. Un hospital priorizara controles contra ransomware (T1486, T1490) mientras que un banco priorizara los de fraude y movimiento lateral (T1021, T1550). El resultado es un roadmap de compliance ordenado por riesgo, no por numero de control.

¿Se puede automatizar la construccion de un TCIM?

Si, parcialmente. La capa de datos (tecnicas ATT&CK activas, feeds de amenazas, mappings a controles) se puede automatizar con herramientas como MITRE ATT&CK Navigator, plataformas CTI y scripts de correlacion. La capa de contexto (perfil de amenaza del sector, tolerancia al riesgo, estado actual de los controles) requiere input humano. Plataformas GRC avanzadas como MalwareIntel integran ambas capas para generar heatmaps automaticos que el CISO valida y ajusta.

AvanzadoTCIMcomplianceMITRE ATT&CKENSNIS2DORAISO 27001risk-based compliance

Threat-Compliance Intelligence Map: Conectar Amenazas con Obligaciones Regulatorias

TCIM (Threat-Compliance Intelligence Map) conecta el panorama de amenazas con las obligaciones regulatorias. Mapea tecnicas ATT&CK a controles ENS, NIS2, DORA e ISO 27001 para priorizar inversiones de seguridad basandose en riesgo real, no en checklists genericos.

MalwareIntel Research·5 de junio de 2026·14 min lectura

Serie: CERTs y Marco Regulatorio — Parte 15

El problema de tratar amenazas y compliance como mundos separados

La mayoria de organizaciones gestionan dos procesos en paralelo sin conexion real entre ellos. Por un lado, el equipo de CTI (Cyber Threat Intelligence) monitoriza amenazas, analiza campanas activas y produce informes sobre tecnicas de ataque. Por otro, el equipo de GRC (Governance, Risk and Compliance) gestiona auditorias, implementa controles y documenta evidencias para cumplir con ENS, NIS2, DORA o ISO 27001.

El resultado es predecible: el equipo CTI alerta sobre una campana de ransomware que explota credenciales robadas y se mueve lateralmente con PsExec, pero el equipo GRC sigue ejecutando su plan de controles en orden secuencial, priorizando el control 47 porque toca esta semana, no porque sea relevante para la amenaza activa. Cuando el ransomware impacta, ambos equipos tienen razon parcial y ningun equipo tuvo la foto completa.

TCIM (Threat-Compliance Intelligence Map) resuelve esta desconexion. Es una metodologia que crea un mapa bidireccional entre tecnicas de ataque reales y obligaciones regulatorias concretas, permitiendo que la inteligencia de amenazas dirija la priorizacion del cumplimiento normativo.

Que es un Threat-Compliance Intelligence Map

Un TCIM es una estructura de datos que conecta tres capas:

Capa de amenazas: tecnicas MITRE ATT&CK observadas en campanas activas contra el sector de la organizacion, con datos de frecuencia, actores asociados y tendencias temporales.
Capa de controles: catalogo de controles de seguridad implementados o planificados, mapeados a una o varias tecnicas ATT&CK que mitigan.
Capa regulatoria: obligaciones especificas de cada normativa (ENS Alto, NIS2, DORA, ISO 27001 Anexo A) vinculadas a los controles que las satisfacen.

La potencia del TCIM reside en la bidireccionalidad. Desde una amenaza, puedes navegar hasta las regulaciones que exigen proteccion contra ella. Desde una obligacion regulatoria, puedes ver que amenazas reales cubre y cuales quedan fuera del scope.

Estructura del mapa

Tecnica ATT&CK          Control de seguridad          Regulacion
─────────────────        ─────────────────────         ──────────────────
T1566 Phishing     ──→  Email gateway + SPF/DKIM  ──→  ENS op.ext.1
                         Security awareness        ──→  NIS2 Art.21.2(g)
                         Sandbox detonation        ──→  ISO 27001 A.8.23

T1486 Data Encrypt ──→  Backup immutable          ──→  ENS op.cont.1
                         EDR behavioral detection  ──→  DORA Art.9.2
                         Network segmentation      ──→  ISO 27001 A.8.22

T1021 Remote Svc   ──→  MFA en acceso remoto      ──→  ENS op.acc.6
                         PAM (Privileged Access)   ──→  NIS2 Art.21.2(i)
                         Session monitoring        ──→  DORA Art.9.4(b)

Cada arista del mapa tiene atributos: efectividad del control contra la tecnica (1 a 5), estado de implementacion (implementado, parcial, planificado, no aplica) y fecha de ultima revision.

Construir el TCIM paso a paso

Paso 1: Definir el perfil de amenaza sectorial

No todas las tecnicas ATT&CK son igualmente relevantes. Un hospital tiene un perfil de amenaza distinto al de un banco o una utility electrica. El primer paso es seleccionar las tecnicas que afectan al sector, ponderadas por frecuencia observada.

Fuentes para construir el perfil:

MITRE ATT&CK Navigator: permite crear capas (layers) por grupo de amenaza o por sector.
Feeds CTI sectoriales: CISA alerts, ENISA threat landscape, CCN-CERT informes sectoriales.
Datos propios: si la organizacion tiene un SIEM con detecciones mapeadas a ATT&CK, esos datos son la fuente mas valiosa.
EPSS (Exploit Prediction Scoring System): para ponderar CVEs explotados activamente y las tecnicas asociadas.

El resultado es una lista priorizada de 20 a 40 tecnicas ATT&CK con un peso relativo basado en la probabilidad de ser utilizadas contra la organizacion.

Paso 2: Mapear tecnicas a controles

Para cada tecnica priorizada, identificar los controles de seguridad que la mitigan. MITRE D3FEND es la referencia principal para este mapping, complementada con CIS Controls v8 y los controles especificos de cada framework.

Ejemplo de mapping para T1566.001 (Spearphishing Attachment):

Control	Tipo	Efectividad	D3FEND
Email content filtering	Preventivo	4/5	D3-EAL
Sandbox detonation	Detectivo	4/5	D3-DA
User awareness training	Preventivo	2/5	N/A
Macro execution policy	Preventivo	5/5	D3-SEA
EDR en endpoints	Detectivo	3/5	D3-EFA
Network segmentation	Limitante	3/5	D3-NI

Cada control puede mitigar multiples tecnicas, y cada tecnica requiere multiples controles para una defensa en profundidad efectiva. Esta relacion muchos a muchos es lo que da riqueza al TCIM.

Paso 3: Vincular controles a obligaciones regulatorias

Cada control se mapea a las obligaciones regulatorias que satisface. Este mapping es el mas intensivo en trabajo manual la primera vez, pero se reutiliza y refina con cada iteracion.

La tabla de referencia cruzada para un control como "backup inmutable":

Regulacion	Articulo/Control	Requisito
ENS Alto	op.cont.1	Analisis de impacto, continuidad de servicio
ENS Alto	op.cont.2	Plan de continuidad
NIS2	Art.21.2(c)	Continuidad de negocio y gestion de crisis
DORA	Art.11.1	Politica de copias de seguridad
DORA	Art.11.6	Capacidad de restauracion fiable y rapida
ISO 27001	A.8.13	Copias de seguridad de la informacion
ISO 27001	A.5.30	Preparacion TIC para continuidad de negocio

Ejemplo practico: ransomware mapeado a regulaciones

El ransomware es el escenario donde TCIM aporta mayor valor inmediato. Una campana tipica de ransomware moderno (doble extorsion) utiliza entre 15 y 25 tecnicas ATT&CK en su cadena de ataque completa. Mapeemos las fases criticas:

Acceso inicial y ejecucion

Tecnica	Descripcion	Control clave	ENS	NIS2	DORA	ISO 27001
T1566.001	Spearphishing Attachment	Email filtering + sandbox	op.ext.1	Art.21.2(g)	Art.9.2	A.8.23
T1190	Exploit Public-Facing App	Patch management + WAF	op.exp.4	Art.21.2(e)	Art.7.1	A.8.8
T1059.001	PowerShell	Constrained Language Mode + logging	op.exp.2	Art.21.2(a)	Art.9.1	A.8.19

Persistencia y movimiento lateral

Tecnica	Descripcion	Control clave	ENS	NIS2	DORA	ISO 27001
T1003.001	LSASS Memory Dump	Credential Guard + PAM	op.acc.5	Art.21.2(i)	Art.9.4(b)	A.8.5
T1021.002	SMB/Windows Admin	Network segmentation + MFA	op.acc.6	Art.21.2(a)	Art.9.4(a)	A.8.22
T1055.001	DLL Injection	EDR + AMSI	op.exp.8	Art.21.2(a)	Art.9.2	A.8.7

Impacto

Tecnica	Descripcion	Control clave	ENS	NIS2	DORA	ISO 27001
T1486	Data Encrypted for Impact	Backup immutable + air-gap	op.cont.1	Art.21.2(c)	Art.11.1	A.8.13
T1490	Inhibit System Recovery	Proteccion VSS + backup offsite	op.cont.2	Art.21.2(c)	Art.11.6	A.5.30
T1489	Service Stop	Monitorizacion servicios criticos	op.mon.1	Art.21.2(a)	Art.9.3	A.8.16

Este mapeo revela algo que los checklists genericos no muestran: la tecnica T1490 (Inhibit System Recovery), que los atacantes usan para borrar shadow copies antes de cifrar, esta cubierta por obligaciones de continuidad en las cuatro regulaciones. Sin embargo, muchas organizaciones implementan backup (op.cont.1) sin proteger las shadow copies del borrado, dejando un gap que ningun checkbox detectaria sin el contexto de amenaza.

Ejemplo practico: ataque a la cadena de suministro

Los ataques supply chain (SolarWinds, MOVEit, 3CX) representan un escenario donde las regulaciones recientes (NIS2, DORA) han anadido requisitos especificos que las anteriores no cubrian.

Tecnica	Descripcion	Control	ENS	NIS2	DORA	ISO 27001
T1195.002	Supply Chain: Software	SBOM + verificacion integridad	op.ext.2	Art.21.2(d)	Art.28.2	A.5.21
T1199	Trusted Relationship	Zero Trust + least privilege	op.acc.4	Art.21.2(d)	Art.28.4	A.5.22
T1195.001	Supply Chain: Hardware	Verificacion firmware + TPM	mp.hw.1	Art.21.2(d)	Art.28.6	A.5.21
T1078.004	Valid Accounts: Cloud	CASB + MFA + anomaly detection	op.acc.6	Art.21.2(j)	Art.9.4(c)	A.5.17

El articulo 21.2(d) de NIS2 es explicito sobre seguridad de la cadena de suministro, algo que el ENS original no contemplaba con esta profundidad. El articulo 28 de DORA va mas alla y exige evaluaciones de riesgo de proveedores TIC criticos. TCIM hace visible que una organizacion que cumple ENS Alto puede tener gaps significativos en supply chain si no ha incorporado los requisitos NIS2 y DORA.

Visualizacion: heatmap de amenaza vs compliance

La representacion mas efectiva de un TCIM es un heatmap bidimensional donde:

Eje Y: tecnicas ATT&CK priorizadas (ordenadas por frecuencia en el sector).
Eje X: regulaciones y sus articulos relevantes.
Color de celda: estado del control que conecta ambos (verde = implementado, amarillo = parcial, rojo = gap, gris = no aplica).
Intensidad: ponderada por la probabilidad de la tecnica (las mas probables en rojo mas intenso si tienen gap).

                ENS      ENS      NIS2     NIS2     DORA     ISO
                op.ext.1 op.acc.6 Art21(a) Art21(d) Art.9.2  A.8.22
T1566 Phish     [verde]  [gris]   [verde]  [gris]   [verde]  [gris]
T1486 Encrypt   [amaril] [gris]   [amaril] [gris]   [rojo]   [amaril]
T1003 CredDump  [gris]   [rojo]   [rojo]   [gris]   [rojo]   [amaril]
T1195 SupplyChain [gris] [gris]   [gris]   [rojo]   [rojo]   [amaril]
T1021 RemoteSvc [gris]   [amaril] [amaril] [gris]   [amaril] [verde]

Este heatmap permite al CISO identificar en segundos los puntos criticos: celdas rojas en filas de alta probabilidad son las prioridades inmediatas. En el ejemplo, T1003 (Credential Dumping) tiene gaps en tres regulaciones y es una tecnica de alta frecuencia en ransomware. Esa es la prioridad, no el siguiente control en la lista del auditor.

Variantes de visualizacion

Segun la audiencia, el heatmap se adapta:

Para el SOC: eje Y ordenado por frecuencia de deteccion en los ultimos 90 dias. Foco en gaps detectivos.
Para GRC: eje X agrupado por regulacion, con porcentaje de cumplimiento por articulo. Foco en gaps de compliance.
Para la direccion: version simplificada con 5 a 10 categorias de riesgo (ransomware, supply chain, insider, DDoS, espionaje) y semaforo por regulacion.

Compliance basado en riesgo con TCIM

El valor estrategico de TCIM no es solo visualizar gaps. Es cambiar el modelo mental de compliance: de "cumplir todos los controles por igual" a "priorizar controles segun la amenaza real".

Priorizacion de inversiones

Cuando un CISO tiene presupuesto limitado (siempre), TCIM responde preguntas concretas:

"Si solo puedo implementar 5 controles este trimestre, cuales maximizan la cobertura contra las amenazas mas probables para mi sector?"
"Que regulaciones quedan mas expuestas si no cierro este gap?"
"Que controles cubren simultaneamente requisitos de ENS, NIS2 y DORA?" (maximizar ROI regulatorio)

Los controles que aparecen en multiples intersecciones del mapa (cubren varias tecnicas y satisfacen varias regulaciones) son los de mayor ROI. Por ejemplo, la segmentacion de red (ENS op.pl.4, NIS2 Art.21.2(a), DORA Art.9.4(a), ISO 27001 A.8.22) mitiga T1021 (Remote Services), T1570 (Lateral Tool Transfer), T1071 (Application Layer Protocol) y T1486 (reduce el blast radius del cifrado). Es un control de alto rendimiento que cualquier TCIM posiciona en el top 5.

Ciclo de actualizacion

Un TCIM no es un documento estatico. Su valor depende de la actualizacion continua:

Mensual: actualizar las tecnicas ATT&CK con datos de feeds CTI sectoriales. Nuevas campanas pueden introducir tecnicas no priorizadas.
Trimestral: revisar el estado de implementacion de controles. Lo que estaba "planificado" deberia haber avanzado a "parcial" o "implementado".
Ante incidente: re-evaluar inmediatamente las tecnicas utilizadas en el incidente y verificar gaps en el mapa.
Ante cambio regulatorio: cuando se publica nueva regulacion o se actualiza una existente, anadir los mappings correspondientes.

Integracion con herramientas GRC

Un TCIM manual en una hoja de calculo funciona para organizaciones pequenas, pero no escala. La integracion con herramientas GRC y plataformas CTI automatiza gran parte del proceso.

Fuentes de datos automatizables

Fuente	Dato	Frecuencia
MITRE ATT&CK TAXII	Tecnicas, grupos, software	Trimestral
CISA KEV	CVEs explotados activamente	Semanal
EPSS (FIRST.org)	Scores de probabilidad de explotacion	Diario
Feeds CTI propios	Detecciones ATT&CK en el SIEM	Continuo
MalwareIntel Platform	IOCs, campanas, actores por sector	Continuo
ATT&CK Navigator	Layers por grupo de amenaza	Bajo demanda

Arquitectura de integracion

Feeds CTI ──→ Normalizacion ──→ Perfil de amenaza sectorial
                                        │
                                        ▼
ATT&CK TAXII ──→ Catalogo tecnicas ──→ TCIM Engine ──→ Heatmap
                                        ▲
                                        │
Frameworks ──→ Catalogo controles ──→ Mappings control-regulacion
(ENS/NIS2/DORA/ISO)

El TCIM Engine es el componente que cruza las tres capas y genera las visualizaciones. Puede ser un modulo dentro de una plataforma GRC existente, un script que consume APIs de ATT&CK y produce un JSON para dashboards, o una funcionalidad integrada en plataformas CTI como MalwareIntel.

Formato de datos

El formato recomendado para intercambio de mappings TCIM es JSON con la siguiente estructura:

{
  "tcim_version": "1.0",
  "sector": "healthcare",
  "last_updated": "2026-06-05",
  "techniques": [
    {
      "technique_id": "T1486",
      "name": "Data Encrypted for Impact",
      "sector_weight": 0.92,
      "controls": [
        {
          "control_id": "CTRL-BKP-001",
          "name": "Immutable backup",
          "effectiveness": 4,
          "status": "implemented",
          "regulations": [
            {"framework": "ENS", "ref": "op.cont.1"},
            {"framework": "NIS2", "ref": "Art.21.2(c)"},
            {"framework": "DORA", "ref": "Art.11.1"},
            {"framework": "ISO27001", "ref": "A.8.13"}
          ]
        }
      ]
    }
  ]
}

Este formato permite que distintas herramientas consuman y produzcan mappings TCIM interoperables.

Beneficios para CISOs

Justificacion de presupuesto con datos

TCIM transforma la conversacion con la direccion. En lugar de "necesitamos una solucion EDR porque es buena practica", el argumento se convierte en: "las 3 tecnicas de mayor probabilidad para nuestro sector (T1486, T1003, T1055) no estan cubiertas por ningun control detectivo. Implementar EDR cierra este gap y satisface simultaneamente requisitos de ENS op.exp.8, NIS2 Art.21.2(a) y DORA Art.9.2. El coste es X y la reduccion de riesgo estimada es Y."

Preparacion para auditorias

Cuando llega el auditor, el TCIM funciona como evidencia viva de que la organizacion aplica un enfoque basado en riesgo. Demuestra que los controles priorizados responden a amenazas reales del sector, no a un orden arbitrario. Las regulaciones recientes (NIS2, DORA) exigen explicitamente un enfoque basado en riesgo, por lo que tener un TCIM documentado y actualizado satisface este requisito de forma directa.

Deteccion proactiva de gaps regulatorios

Cuando aparece una nueva amenaza (un zero-day explotado activamente, una nueva familia de ransomware, un ataque supply chain), el CISO puede consultar el TCIM en minutos para responder: "Tenemos controles para esta tecnica? Que regulaciones quedan expuestas si no actuamos?" Esta capacidad de respuesta rapida es la diferencia entre gestion reactiva y proactiva del riesgo.

Convergencia multi-regulatoria

Las organizaciones sujetas a multiples regulaciones (un banco espanol cumple ENS, NIS2 y DORA simultaneamente) encuentran en TCIM una herramienta de convergencia. En lugar de gestionar tres programas de compliance separados con auditorias independientes, TCIM permite identificar los controles que satisfacen las tres regulaciones a la vez y gestionarlos de forma unificada. Un unico control de segmentacion de red, bien documentado, cierra requisitos en las tres normativas.

Recursos y referencias

Frameworks y datos

MITRE ATT&CK: attack.mitre.org para el catalogo completo de tecnicas, grupos y software.
MITRE D3FEND: d3fend.mitre.org para mappings defensivos tecnica a contramedida.
ATT&CK Navigator: mitre-attack.github.io/attack-navigator para crear layers sectoriales.
NIST SP 800-53 to ATT&CK Mapping: proyecto CTID de MITRE que mapea controles NIST a tecnicas ATT&CK.
CIS Controls v8 Mapping: cisecurity.org con mappings a ATT&CK y a frameworks regulatorios.

Regulaciones

ENS (Esquema Nacional de Seguridad): RD 311/2022, Anexo II (medidas de seguridad). CCN-STIC guias de implementacion.
NIS2 (Directiva 2022/2555): Articulo 21 (medidas de gestion de riesgos de ciberseguridad). Transposicion pendiente en Espana.
DORA (Reglamento 2022/2554): Capitulo II (gestion del riesgo TIC) y Capitulo V (pruebas de resiliencia).
ISO 27001:2022: Anexo A (controles de referencia). ISO 27002:2022 para la guia de implementacion.

Herramientas

MITRE CTID (Center for Threat-Informed Defense): proyectos de mapping entre frameworks defensivos y ATT&CK.
ATT&CK Workbench: herramienta de MITRE para crear y gestionar bases de conocimiento ATT&CK personalizadas.
MalwareIntel Platform: feeds CTI, campanas activas y mappings ATT&CK para construir el perfil de amenaza sectorial.
OpenSCAP + SCAP Content: automatizacion de checks de controles tecnicos mapeables a regulaciones.

Lectura recomendada

"Threat-Informed Defense" (MITRE): metodologia base para conectar inteligencia de amenazas con estrategia defensiva.
"Mapping ATT&CK to CVE for Impact" (MITRE CTID): proyecto que vincula vulnerabilidades con tecnicas de explotacion.
ENISA Threat Landscape (edicion anual): perfil de amenazas por sector en la UE, util para construir el eje Y del heatmap.
CCN-CERT IA series (informes anuales): panorama de amenazas en el contexto espanol, con referencias a ENS.