La cyber kill chain se refiere a la secuencia de pasos que los ciberdelincuentes suelen seguir para llevar a cabo un ataque. También es un marco introducido por Lockheed Martin, la cyber kill chain mapea estas secuencias, ayudando a las organizaciones a entender y a interrumpir los ciberataques en el proceso.
Tabla de contenido
Este modelo es especialmente útil para analizar amenazas persistentes avanzadas (APT) y ataques sofisticados que combinan tácticas como malware, ransomware, troyanos, spoofing, y ingeniería social.
Lockheed Martin desarrolló originalmente el marco de la cyber kill chain como una forma de adaptar el pensamiento militar de la "kill chain" a la ciberseguridad. En la estrategia militar, una kill chain describe los pasos estructurados que un adversario toma para identificar y atacar un objetivo, y las oportunidades que tienen los defensores para interrumpirlos.
De manera similar, el marco de la cyber kill chain descompone un ataque en fases distintas, dando a los defensores una visión clara de dónde y cómo intervenir. Los equipos de seguridad ahora utilizan este modelo para mapear las amenazas en etapas específicas, ayudándoles a priorizar las defensas y a detectar brechas.
El modelo de la cyber kill chain identifica siete pasos que los atacantes cibernéticos seguirán:
Reconocimiento: Los atacantes recopilan información sobre el objetivo, como puertos abiertos o correos electrónicos de empleados.
Armamento: Preparan cargas útiles de malware, a menudo vinculando exploits a archivos o enlaces maliciosos.
Entrega: Envío de la carga útil, típicamente a través de correos electrónicos de phishing o descargas drive-by.
Explotación: El código malicioso se ejecuta en el sistema objetivo, explotando una vulnerabilidad.
Instalación: El malware establece persistencia instalando puertas traseras o troyanos.
Comando y Control (C2): Los atacantes se comunican con el sistema comprometido para emitir comandos.
Este modelo muestra que los ciberataques no son eventos únicos, sino una serie de pasos interconectados. Al interrumpir incluso una etapa de esta cadena, los equipos de seguridad pueden evitar que los atacantes logren sus objetivos y reducir el impacto general de una brecha.
Por ejemplo, podrían desplegar inteligencia de amenazas para detectar actividades de reconocimiento, usar sandboxing para atrapar malware armado o monitorear el tráfico de red en busca de conexiones C2 sospechosas.
La cyber kill chain ofrece una vista lineal y de alto nivel de un ataque, mientras que el marco MITRE ATT&CK proporciona una matriz detallada de tácticas y técnicas de los adversarios. Usar ambos juntos fortalece la detección, la respuesta a incidentes y la mejora continua de la ciberseguridad.
La cyber kill chain unificada integra el modelo de Lockheed Martin con las tácticas MITRE ATT&CK para capturar mejor la complejidad de los ataques modernos, especialmente las amenazas persistentes avanzadas (APT). Expande la kill chain más allá del compromiso inicial para incluir el movimiento lateral post-explotación y el robo de credenciales, ofreciendo a los defensores una hoja de ruta más completa para detectar e interrumpir intrusiones.
Marco
Enfoque
Fortalezas
Cyber Kill Chain
Etapas lineales de un ataque
Fácil de entender, detiene ataques temprano
MITRE ATT&CK
Matriz de tácticas y técnicas
Muy detallado, apoya la caza de amenazas
Cyber Kill Chain Unificada
Combina ambos enfoques
Captura el ciclo de vida de APT, apoya la defensa de espectro completo
Detener los ciberataques a menudo se trata de identificar e interrumpir una o más etapas de la kill chain. Este enfoque en capas reduce las posibilidades de éxito de un atacante y limita los daños si logran superar las defensas iniciales.
Etapa de la Kill Chain
Ataques/Tácticas comunes
Prevención típica/mejor
Reconocimiento
OSINT, perfilado en redes sociales, escaneo de activos expuestos
Inteligencia de amenazas y gestión de superficie de ataque para identificar lo que ven los atacantes, minimizar la exposición.
Armamento
Creación de cargas útiles de malware, macros maliciosas, kits de explotación
Gestión de parches y vulnerabilidades, reducir brechas explotables; mantener actualizadas las herramientas de endpoint.
Entrega
Correos electrónicos de phishing, enlaces maliciosos, ataques watering hole
Seguridad de correo electrónico y filtrado web para bloquear correos electrónicos y sitios maliciosos.
Explotación
Explotación de vulnerabilidades de software, ataques de credenciales
Protección de endpoints (EPP/EDR) para detectar y bloquear acciones maliciosas.
Instalación
El malware instala puertas traseras, ransomware, troyanos
Controles de aplicaciones y sandboxing para detener instalaciones desconocidas o sospechosas.
Comando y Control (C2)
Herramientas de acceso remoto como Cobalt Strike, conexiones salientes sospechosas
Sistemas de prevención de intrusiones de red (IPS) y detección de anomalías para bloquear el tráfico C2.
Acciones sobre los Objetivos
Robo de datos, cifrado para ransomware, sabotaje
En 2024, LockBit aprovechó el troyano QakBot durante las fases de entrega y explotación para obtener acceso, luego utilizó Cobalt Strike para obtener comando y control. Finalmente, cifraron sistemas críticos, exigiendo millones en pagos de rescate, demostrando el costo de omitir la detección dirigida a las primeras etapas de la cyber kill chain.
Clop es conocido por explotar aplicaciones de transferencia de archivos seguras para obtener acceso. Después de la entrega, se mueven rápidamente a la exfiltración de datos (instalación y acciones sobre los objetivos), combinando el cifrado con filtraciones públicas de datos para una doble extorsión.
Reduce los costos de brechas: La detección temprana significa detener los ataques antes de que escalen, ahorrando en costos de recuperación y legales.
Apoya el cumplimiento normativo: Ayuda a demostrar medidas proactivas bajo GDPR, NIS2 y regulaciones similares.
Entender la cyber kill chain te ayuda a anticipar e interrumpir cada etapa de un ataque, desde el reconocimiento inicial hasta la exfiltración de datos. Pero conocer las tácticas no es suficiente sin la capacidad de detectar, responder y adaptarse en tiempo real.
Trend Vision One™ ofrece visibilidad unificada, análisis poderosos y detección y respuesta extendida (XDR) en todo tu entorno. Al correlacionar la actividad en cada fase de la kill chain, puedes detener las amenazas antes, reducir el tiempo de permanencia y proteger los activos críticos con confianza.
La cyber kill chain describe siete pasos que los atacantes suelen seguir: reconocimiento, armamento, entrega, explotación, instalación, comando y control (C2) y acciones sobre los objetivos. Cada paso ofrece a los defensores una oportunidad para detectar y detener el ataque.
Lockheed Martin introdujo la cyber kill chain en 2011. Adaptaron el concepto de las kill chains militares tradicionales para ayudar a los equipos de ciberseguridad a entender y a interrumpir las amenazas digitales.
Al descomponer un ataque en etapas, la kill chain ayuda a los equipos de seguridad a identificar dónde intervenir. Detener un ataque temprano, como bloquear un correo electrónico de phishing o corregir vulnerabilidades, puede evitar que alcance sistemas críticos.
La cyber kill chain es un modelo lineal que muestra la progresión típica de un ataque. MITRE ATT&CK es una matriz detallada de tácticas y técnicas que utilizan los atacantes. Muchas organizaciones utilizan ambos juntos para una seguridad más fuerte.
Sí. Aunque los ataques han evolucionado, la kill chain sigue siendo una forma útil de visualizar las amenazas y diseñar defensas en capas. Muchos equipos también la combinan con modelos más nuevos como el marco MITRE ATT&CK.
Absolutamente. Incluso las pequeñas empresas pueden aplicar el concepto de la kill chain mapeando amenazas, mejorando la conciencia de los empleados e invirtiendo en seguridad en capas para bloquear ataques en múltiples etapas.