CAPEC
¿Qué es CAPEC?
CAPECCommon Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas.
CAPEC (Common Attack Pattern Enumeration and Classification) es un recurso comunitario gestionado por MITRE que describe los patrones que usan los adversarios para explotar debilidades en software, hardware u operaciones. Cada entrada tiene un CAPEC-ID, descripcion, prerequisitos, pasos del ataque, debilidades relacionadas (CWE) y mitigaciones, organizadas en jerarquias como Mechanisms of Attack y Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical). CAPEC complementa a CWE (debilidades), CVE (vulnerabilidades) y ATT&CK (tecnicas reales), y se utiliza en threat modeling, revisiones de diseno seguro, red teams y scoping de pentest para enumerar escenarios de ataque concretos.
● Ejemplos
- 01
Mapear CAPEC-66 (SQL Injection) a puntos de entrada concretos de la aplicacion en un taller de threat modeling PASTA.
- 02
Checklist de diseno seguro que exige controles para cada patron CAPEC relevante en los flujos de autenticacion.
● Preguntas frecuentes
¿Qué es CAPEC?
Common Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa CAPEC?
Common Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas.
¿Cómo funciona CAPEC?
CAPEC (Common Attack Pattern Enumeration and Classification) es un recurso comunitario gestionado por MITRE que describe los patrones que usan los adversarios para explotar debilidades en software, hardware u operaciones. Cada entrada tiene un CAPEC-ID, descripcion, prerequisitos, pasos del ataque, debilidades relacionadas (CWE) y mitigaciones, organizadas en jerarquias como Mechanisms of Attack y Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical). CAPEC complementa a CWE (debilidades), CVE (vulnerabilidades) y ATT&CK (tecnicas reales), y se utiliza en threat modeling, revisiones de diseno seguro, red teams y scoping de pentest para enumerar escenarios de ataque concretos.
¿Cómo defenderse de CAPEC?
Las defensas contra CAPEC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para CAPEC?
Nombres alternativos comunes: Common Attack Pattern Enumeration and Classification, CAPEC.
● Términos relacionados
- appsec№ 1150
Modelado de amenazas
Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.
- compliance№ 801
Modelo de amenazas PASTA
Process for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- vulnerabilities№ 262
CWE (Common Weakness Enumeration)
Taxonomía comunitaria de tipos de debilidades de software y hardware: las clases de defecto que originan vulnerabilidades.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.