La Cyber Kill Chain (cadena de muerte/destrucción cibernética, en español) ayuda a comprender y predecir las diferentes etapas de un ciberataque. Saber cómo trabajan los hackers permite a una empresa seleccionar las herramientas y estrategias adecuadas para limitar las violaciones, responder a los ataques en progreso y minimizar los riesgos.
Este artículo explica el papel de las Cyber Kill Chain en la ciberseguridad. Examinamos cada paso de un ataque y mostramos por qué las cadenas de muerte son vitales para las estrategias de defensa.
¿Qué es una Cyber Kill Chain?
Una Cyber Kill Chain es un modelo de seguridad que describe las fases de un ciberataque. Una cadena de destrucción cubre todas las etapas de una violación de red, desde la planificación y el espionaje iniciales hasta el objetivo final del hacker.

Comprender las etapas de un ataque permite a las empresas planificar las tácticas para prevenir y detectar intrusos maliciosos. Una Cyber Kill Chain ayuda a prepararse para todas las amenazas comunes en línea, incluyendo:
- Ataques de ransomware.
- Violaciones de red.
- Robos de datos.
- Ataques persistentes avanzados (APT).
El término “kill chain” tiene un origen militar. El concepto original definía la estructura de una operación militar e incluía:
- La identificación del objetivo.
- El envío de la fuerza hacia el objetivo.
- La orden de atacar el objetivo.
- La eliminación del objetivo.
Otro término para la Cyber Kill Chain es cyber-attack chain.
7 Etapas de una Cyber Kill Chain
Las siete fases de la Cyber Kill Chain son los diferentes pasos de un ataque exitoso. Un equipo de seguridad tiene la oportunidad de detener a los atacantes en cada etapa, pero idealmente, una empresa debería identificar y detener las amenazas en la primera mitad de la Cyber Kill Chain.

Etapa 1: Reconocimiento
El atacante recopila la información necesaria durante la etapa de reconocimiento. Los hackers seleccionan a la víctima, realizan una investigación exhaustiva de la empresa y buscan puntos débiles en la red objetivo.
Hay dos tipos de reconocimiento:
- Reconocimiento pasivo: Un hacker busca información sin interactuar con el objetivo. La víctima no tiene forma de saber o registrar la actividad del atacante.
- Reconocimiento activo: Un hacker obtiene acceso no autorizado a la red e interactúa directamente con el sistema para recopilar información.
Durante esta etapa, los atacantes evalúan los siguientes aspectos de un sistema:
- Vulnerabilidades de seguridad y puntos débiles.
- La posibilidad de emplear a un cómplice interno.
- Herramientas, dispositivos, protocolos de verificación y jerarquía de usuarios.
Una táctica común durante el reconocimiento es recopilar direcciones de correo electrónico de los empleados y cuentas de redes sociales. Esta información es útil si el atacante decide utilizar la ingeniería social para acceder a la red.
Medidas defensivas para la etapa de reconocimiento:
- Configura firewalls para reforzar la seguridad del perímetro.
- Monitorea los puntos de entrada y los registros de visitantes en busca de comportamientos sospechosos.
- Asegúrate de que los empleados informen sobre correos electrónicos, llamadas y mensajes de redes sociales sospechosos.
- Prioriza la protección de las personas y los sistemas que son objetivos principales para el reconocimiento.
- Limita la cantidad de datos de la empresa disponibles públicamente.
Etapa 2: Armamento
El equipo de atacantes encontró un punto débil en el sistema y sabe cómo crear un punto de entrada. El equipo criminal ahora diseña un virus o un gusano para atacar la debilidad. Si los atacantes encontraron una vulnerabilidad de día cero, generalmente trabajan rápido antes de que la víctima descubra y solucione la vulnerabilidad.
Una vez que el malware está listo, los hackers suelen colocar software malicioso en documentos comunes como un PDF o un archivo de Office.
Medidas defensivas para la etapa de armamento:
- Realiza capacitaciones de concientización sobre seguridad para ayudar a los empleados a reconocer las pruebas de armamento.
- Analiza los artefactos de malware para verificar líneas de tiempo y similitudes sospechosas.
- Crea herramientas de detección para los creadores de armas (herramientas automatizadas que combinan software malicioso con exploits).
Etapa 3: Entrega
Los criminales lanzan el ataque al entorno objetivo. Los métodos de infección varían, pero las técnicas más comunes son:
- Ataques de phishing.
- Dispositivos USB infectados.
- Explotación de un fallo de hardware o software.
- Cuentas de usuario comprometidas.
- Una descarga automática que instala malware junto con un programa regular.
- Hackeo directo a través de un puerto abierto u otro punto de acceso externo.
El objetivo de esta etapa es violar el sistema y establecer silenciosamente un punto de apoyo. Una táctica popular es lanzar un ataque DDoS simultáneo para distraer a los defensores e infectar la red sin alarmar los controles de seguridad.
Medidas defensivas para la etapa de entrega:
- Protégete de los ataques de phishing.
- Usa herramientas de administración de parches.
- Marca e investiga los cambios en archivos y carpetas con monitoreo de integridad de archivos (FIM).
- Monitorea el comportamiento extraño del usuario, como horarios o ubicaciones de inicio de sesión inusuales.
- Realiza pruebas de penetración para identificar riesgos y puntos débiles de forma proactiva.
Etapa 4: Instalación
El software malicioso está dentro del sistema y los administradores desconocen la amenaza. El cuarto paso de la Cyber Kill Chain es cuando el malware se instala en la red.
Una vez que se instala el malware, los intrusos obtienen acceso a la red (también conocido como puerta trasera). Ahora, con acceso abierto, los intrusos son libres de:
- Instalar las herramientas necesarias.
- Modificar los certificados de seguridad.
- Crear archivos de script.
- Buscar más vulnerabilidades para obtener un mejor punto de apoyo antes de comenzar el ataque principal.
Mantener su presencia en secreto es crítico para los atacantes. Los intrusos normalmente borran archivos y metadatos, sobrescriben datos con marcas de tiempo falsas y modifican documentos para pasar desapercibidos.
Medidas defensivas para la etapa de instalación:
- Mantén los dispositivos actualizados.
- Usa software antivirus.
- Configura un sistema de detección de intrusiones basado en host para alertar o bloquear las rutas de instalación comunes.
- Realiza análisis de vulnerabilidades regularmente.
Etapa 5: Movimiento Lateral
Los intrusos se mueven lateralmente a otros sistemas y cuentas en la red. El objetivo es obtener permisos más altos y acceder a más datos. Las técnicas estándar durante esta etapa son:
- Explotación de vulnerabilidades de contraseña.
- Ataques de fuerza bruta.
- Extracción de credenciales.
- Atacando más vulnerabilidades del sistema.
Medidas defensivas para la etapa de movimiento lateral:
- Implementa seguridad Zero Trust para limitar el alcance de las cuentas y programas comprometidos.
- Usa la segmentación de red para aislar sistemas individuales.
- Elimina el uso de cuentas compartidas.
- Aplica las mejores prácticas de seguridad de contraseñas.
- Audita todas las actividades sospechosas de usuarios privilegiados.
Etapa 6: Comando y Control (C2)
El malware complejo de nivel APT requiere interacción manual para operar, por lo que los atacantes necesitan acceso al teclado al entorno objetivo. El último paso antes de la fase de ejecución es establecer un canal de comando y control (C2) con un servidor externo.
Los hackers normalmente logran C2 a través de un beacon en una ruta de red externa. Los beacons suelen estar basados en HTTP o HTTPS y aparecen como tráfico ordinario debido a los encabezados HTTP falsificados.
Si el objetivo del ataque es la exfiltración de datos, los intrusos comienzan a colocar los datos objetivo en paquetes durante la fase C2. Una ubicación típica para los paquetes de datos es una parte de la red con poca o ninguna actividad o tráfico.
Medidas defensivas para la etapa de comando y control:
- Busca infraestructuras C2 al analizar malware.
- Exige proxies para todos los tipos de tráfico (HTTP, DNS).
- Escanea continuamente en busca de amenazas.
- Configura sistemas de detección de intrusiones para alertar sobre todos los programas nuevos que contacten la red.
Etapa 7: Ejecución
Los intrusos toman medidas para cumplir con el propósito del ataque. Los objetivos varían, pero los objetivos más comunes son:
- Cifrado de datos.
- Exfiltración de datos.
- Destrucción de datos.
Inmediatamente antes de que comience un ataque, los intrusos cubren sus huellas causando caos en la red. El objetivo es confundir y ralentizar al equipo de seguridad y forense mediante:
- Borrado de registros para enmascarar la actividad.
- Eliminación de archivos y metadatos.
- Sobrescritura de datos con marcas de tiempo incorrectas e información engañosa.
- Modificación de datos vitales para que parezcan normales incluso si hay un ataque.
Algunos criminales también lanzan otro ataque DDoS para distraer los controles de seguridad mientras extraen datos.
Medidas defensivas para la etapa de ejecución:
- Crea un manual de respuesta a incidentes que describa un plan de comunicación claro y una evaluación de daños en caso de ataque.
- Usa herramientas para detectar señales de exfiltración de datos en curso.
- Ejecuta respuestas de analistas inmediatas a todas las alertas.
¿Cuál es un ejemplo de una Cyber Kill Chain?
El ejemplo de Cyber Kill Chain a continuación muestra las diferentes etapas en las que un equipo de seguridad puede detectar y prevenir un ataque de ransomware personalizado:
- Paso 1: Los hackers realizan operaciones de reconocimiento para encontrar una debilidad en el sistema objetivo.
- Paso 2: Los criminales crean un programa de ransomware explotable y lo colocan dentro de un archivo adjunto de correo electrónico. Luego, los hackers envían un correo electrónico de phishing a uno o más empleados.
- Paso 3: Un usuario comete el error de abrir y ejecutar el programa desde la bandeja de entrada.
- Paso 4: El ransomware se instala en la red objetivo y crea una puerta trasera.
- Paso 5: El programa llama a la infraestructura maliciosa y notifica al atacante sobre la infección exitosa.
- Paso 6: Los intrusos se mueven lateralmente a través del sistema para encontrar datos confidenciales.
- Paso 7: Los atacantes logran el control C2 y comienzan a cifrar los archivos objetivo.
Inconvenientes del modelo de Cyber Kill Chain
Una Cyber Kill Chain es un marco en torno al cual una empresa puede diseñar sus tácticas y procesos de seguridad. Sin embargo, las cadenas de muerte también tienen varias fallas que vale la pena señalar.
Enfoque en el perímetro
La Cyber Kill Chain original apareció en un momento en que la mayoría de las amenazas provenían del exterior de la organización. En el panorama de seguridad actual, tratar el perímetro como la superficie de ataque principal tiene dos problemas:
- El uso de la nube y la microsegmentación eliminó el concepto de seguridad de castillo y foso.
- Las amenazas internas son tan peligrosas como las externas.
Cómo solucionar este problema: Crea una kill chain completa teniendo en cuenta los peligros tanto dentro como fuera del perímetro. Configura el monitoreo en la nube para garantizar que tus activos estén seguros tanto en las instalaciones como en la nube.
Identificación de amenazas durante las primeras y segundas fases
Las etapas de reconocimiento y armamento de una Cyber Kill Chain ocurren fuera del alcance de la empresa. Detectar ataques durante estas etapas es difícil. Incluso si notas un comportamiento extraño, es imposible determinar el alcance de la amenaza.
Cómo solucionar este problema: No ignores las primeras señales de un posible ataque tratándolas como un evento único. Analiza cada actividad que parezca reconocimiento activo o prueba de armas.
Falta de adaptación
La primera Cyber Kill Chain apareció en 2011 cuando Lockheed-Martin creó un modelo de seguridad para defender su red. Desde entonces, tanto la naturaleza como la composición de los ciberataques han cambiado significativamente, lo que hace que algunos sientan que las cadenas de muerte no pueden preparar a una empresa para amenazas avanzadas.
Cómo solucionar este problema: No crees una Cyber Kill Chain y nunca actualices el modelo. Una cadena de muerte sólida debe evolucionar para seguir siendo eficaz contra las últimas amenazas, especialmente las APT. A medida que tu empresa crece, revisa la cadena para tener en cuenta las nuevas superficies de ataque y los peligros potenciales.
Una columna vertebral de cualquier estrategia de seguridad
Si bien no es una herramienta o mecanismo de seguridad, una cadena de muerte ayuda a seleccionar las estrategias y tecnologías adecuadas para detener los ataques en diferentes etapas. Usa una kill chain como base para una estrategia de seguridad eficaz y continúa haciendo crecer tu empresa sin preocuparte por los costosos contratiempos.