MITRE Corporation mantiene el ecosistema mas influyente de CTI moderno: la matriz ATT&CK (TTPs catalogados), Navigator (visualizacion de layers), CTI Blueprints (templates de reportes), y D3FEND (defensive countermeasures). Es el lenguaje comun que permite que dos organizaciones hablen del mismo TTP usando el mismo ID (T1566.001 = spear-phishing attachment).

Los 4 productos MITRE forman una pipeline: el analista observa una TTP -> la mapea a ID ATT&CK -> visualiza coverage en Navigator -> documenta en reporte usando CTI Blueprints -> propone defensa con D3FEND. La consistencia editorial (mismo lenguaje, mismos IDs) es la ventaja competitiva mas grande del CTI moderno: permite intercambio de inteligencia entre organizaciones, vendors y agencias gubernamentales sin ambiguedad.

Un junior debe saber: (1) buscar IDs ATT&CK en el repo (ej. T1566.001), (2) crear layers en Navigator (formato JSON intercambiable), (3) usar templates CTI Blueprints para reportes (Apache 2.0). NO inventar nombres de TTPs propios — siempre mapear a ATT&CK existente. NO confundir Tactics (objetivos del adversario) con Techniques (como).

ATT&CK Enterprise es el dominante; ICS y Mobile estan menos maduros. ATT&CK no cubre bien post-AI threats (2026: model poisoning, prompt injection). MITRE ATLAS lo intenta pero con menos adopcion industrial.