La cadena de asesinatos cibernéticos se refiere a la secuencia de pasos que los cibercriminales a menudo toman para llevar a cabo un ataque. Además, la cadena de ciberataques, un marco introducido por Lockheed Martin, mapea estas secuencias, ayudando a las organizaciones a comprender e interrumpir los ciberataques en el proceso.
Tabla de contenido
Este modelo es especialmente útil para analizar amenazas persistentes avanzadas (APT) y ataques sofisticados que combinan tácticas como malware, ransomware, troyanos, suplantación e ingeniería social.
El marco de la cadena de asesinatos cibernéticos
Lockheed Martin desarrolló originalmente el marco de la cibercadena de asesinato como una forma de adaptar el pensamiento de la “cadena de asesinato” militar a la ciberseguridad. En la estrategia militar, una cadena de asesinatos describe los pasos estructurados que toma un adversario para identificar e involucrar a un objetivo, y las oportunidades que tienen los defensores de interrumpirlos.
Del mismo modo, el marco de la cibercadena de asesinato descompone un ataque en distintas fases, proporcionando a los defensores una visión clara de dónde y cómo intervenir. Los equipos de seguridad ahora utilizan este modelo para asignar amenazas a etapas específicas, ayudándoles a priorizar defensas y detectar brechas.
Pasos de la cadena de asesinatos cibernéticos
El modelo de la cadena de asesinatos cibernéticos identifica siete pasos que los ciberatacantes seguirán:
Reconocimiento: Los atacantes recopilan información sobre el objetivo, como puertos abiertos o correos electrónicos de empleados.
Armado: Preparan cargas útiles de malware, a menudo vinculando exploits a archivos o enlaces maliciosos.
Entrega: Envío de la carga útil, normalmente mediante phishing de correos electrónicos o descargas drive-by.
Explotación: El código malicioso se ejecuta en el sistema de destino, aprovechando una vulnerabilidad.
Instalación: El malware establece persistencia instalando puertas traseras o troyanos.
Comando y control (C2): Los atacantes se comunican con el sistema comprometido para emitir comandos.
Acciones sobre objetivos: Logran su objetivo, ya sea robando datos, cifrando archivos o interrumpiendo servicios.
Cómo el modelo de la cibercadena de asesinato visualiza los ataques
Este modelo muestra que los ciberataques no son eventos únicos, sino una serie de pasos interconectados. Al interrumpir incluso una etapa en esta cadena, los equipos de seguridad pueden evitar que los atacantes alcancen sus objetivos y reducir el impacto general de una filtración.
Por ejemplo, podrían implementar información sobre amenazas para detectar actividad de reconocimiento, utilizar sandboxing para detectar malware armado o supervisar el tráfico de red en busca de conexiones C2 sospechosas.
Cadena de asesinatos cibernéticos frente a MITRE ATT&CK
La cadena de asesinatos cibernéticos proporciona una visión lineal y de alto nivel de un ataque, mientras que el marco MITRE ATT&CK proporciona una matriz detallada de tácticas y técnicas adversarias. El uso conjunto de ambos fortalece la detección, la respuesta ante incidentes y la mejora continua de la ciberseguridad.
Cadena de asesinatos cibernéticos unificados y otros modelos
La cadena de ciberataque unificada integra el modelo Lockheed Martin con las tácticas MITRE ATT&CK para capturar mejor la complejidad de los ataques modernos, especialmente las amenazas persistentes avanzadas (APT). Amplía la cadena de asesinatos más allá del compromiso inicial para incluir el movimiento lateral posterior a la explotación y el robo de credenciales, ofreciendo a los defensores una hoja de ruta más completa para detectar e interrumpir intrusiones.
Cadena de asesinato cibernético frente a otros modelos: Gráfico comparativo
de AWS
Enfoque
Fortalezas
Cadena de asesinatos cibernéticos
Etapas lineales de un
ataque
Fácil de entender, detiene los ataques pronto
MITRE ATT&CK
Matriz de tácticas y técnicas
Altamente detallado, admite la búsqueda de amenazas
Cadena de ciberdestrucción unificada
Combina ambos enfoques
Captura el ciclo de vida de APT y admite la defensa de espectro completo
Cómo interrumpir el proceso de la cibercadena de asesinato
Detener los ciberataques a menudo consiste en identificar e interrumpir una o más etapas de la cadena de asesinato. Este enfoque por capas reduce las posibilidades de éxito de un atacante y limita el daño si infringe las defensas iniciales.
Tácticas y prevención de la cadena de asesinatos cibernéticos
Etapa de la cadena de corte
Tácticas/ataques comunes
Prevención típica/mejor
Reconocimiento
OSINT, perfiles de redes sociales, análisis de activos expuestos
Gestión de la superficie de ataque e información sobre amenazas para identificar lo que ven los atacantes y minimizar la exposición.
Armado
Creación de cargas útiles de malware, macros maliciosas, kits de exploit
La gestión de vulnerabilidades y parches reduce las brechas aprovechables y mantiene actualizadas las herramientas de endpoint.
Entrega
Correos electrónicos de phishing, enlaces maliciosos, ataques de lagunas
Seguridad de email y filtrado web para bloquear emails y sitios maliciosos.
Explotación
Aprovechamiento de vulnerabilidades de software, ataques de credenciales
Protección de endpoints (EPP/EDR) para detectar y bloquear acciones maliciosas.
Instalación
El malware instala puertas traseras, ransomware y troyanos
Controles de aplicaciones y sandboxing para detener instalaciones desconocidas o sospechosas.
Comando y Control (C2)
Herramientas de acceso remoto como Cobalt Strike, conexiones salientes sospechosas
Sistemas de prevención de intrusiones de red (IPS) y detección de anomalías para bloquear el tráfico C2.
Acciones sobre objetivos
Robo de datos, cifrado para ransomware, sabotaje
Ejemplos de cadenas de asesinatos cibernéticos en el mundo real
ransomware LockBit & BlackCat (ALPHV)
En 2024 ,LockBit leaprovechó el troyano de QakBot durante las fases de entrega y explotación para obtener acceso y, a continuación, utilizó Cobalt Strike para obtener control y dominio. En última instancia, cifraron sistemas críticos, exigiendo millones en pagos de rescate, demostrando el coste de omitir la detección dirigida a las primeras etapas de la cadena de asesinatos cibernéticos.
ransomware de Clop
Clop es conocido por explotar aplicaciones seguras de transferencia de archivos para obtener acceso. Tras la entrega, pasan rápidamente a la exfiltración de datos (instalación y acciones en objetivos), combinando el cifrado con fugas de datos públicos para una doble extorsión.
Ventajas de utilizar la cadena de ciberdestrucción en ciberseguridad
Reduce los costes de filtraciones: La detección temprana implica detener los ataques antes de que se intensifiquen, ahorrando en costes legales y de recuperación.
Respalda el cumplimiento normativo: Ayuda a demostrar medidas proactivas en virtud del GDPR, NIS2 y normativas similares.
Mejora la preparación para SOC e IR: Proporciona a los equipos de seguridad un enfoque estructurado para la búsqueda de amenazas y la respuesta ante incidentes. Descubra cómo esto se relaciona con Zero Trust Networking
Refuerce sus defensas en toda la cadena de ciberataques
Comprender la cadena de ciberataque le ayuda a anticipar e interrumpir cada etapa de un ataque, desde el reconocimiento inicial hasta la exfiltración de datos. Pero conocer las tácticas no es suficiente sin la capacidad de detectar, responder y adaptarse en tiempo real.
Trend Vision One™ ofrece visibilidad unificada, potentes funciones de análisis y detección y respuesta ampliadas (XDR) en todo su entorno. Al correlacionar la actividad en cada fase de la cadena de destrucción, puede detener las amenazas antes, reducir el tiempo de permanencia y proteger los activos críticos con confianza.
Jon Clay lleva más de 29 años trabajando en el ámbito de la ciberseguridad. Jon utiliza su experiencia en el sector para educar y compartir información sobre toda la investigación e inteligencia de amenazas publicadas externamente por Trend Micro.
Preguntas Frecuentes (FAQ)
¿Qué es la Cyber Kill Chain?
La Cyber Kill Chain es un marco de ciberseguridad que describe etapas de un ataque, ayudando a detectar amenazas temprano y frenar actividades maliciosas.
¿Cuáles son los siete pasos de la cyber kill chain?
La cyber kill chain describe siete pasos que los atacantes suelen seguir: reconocimiento, armamento, entrega, explotación, instalación, comando y control (C2) y acciones sobre los objetivos. Cada paso ofrece a los defensores una oportunidad para detectar y detener el ataque.
¿Quién desarrolló el modelo de la cyber kill chain?
Lockheed Martin introdujo la cyber kill chain en 2011. Adaptaron el concepto de las kill chains militares tradicionales para ayudar a los equipos de ciberseguridad a entender y a interrumpir las amenazas digitales.
¿Cómo previene la cyber kill chain los ciberataques?
Al descomponer un ataque en etapas, la kill chain ayuda a los equipos de seguridad a identificar dónde intervenir. Detener un ataque temprano, como bloquear un correo electrónico de phishing o corregir vulnerabilidades, puede evitar que alcance sistemas críticos.
¿Cómo es diferente la cyber kill chain de MITRE ATT&CK?
La cyber kill chain es un modelo lineal que muestra la progresión típica de un ataque. MITRE ATT&CK es una matriz detallada de tácticas y técnicas que utilizan los atacantes. Muchas organizaciones utilizan ambos juntos para una seguridad más fuerte.
¿Sigue siendo relevante hoy en día la cyber kill chain?
Sí. Aunque los ataques han evolucionado, la kill chain sigue siendo una forma útil de visualizar las amenazas y diseñar defensas en capas. Muchos equipos también la combinan con modelos más nuevos como el marco MITRE ATT&CK.
¿Pueden las pequeñas empresas usar la cyber kill chain?
Absolutamente. Incluso las pequeñas empresas pueden aplicar el concepto de la kill chain mapeando amenazas, mejorando la conciencia de los empleados e invirtiendo en seguridad en capas para bloquear ataques en múltiples etapas.