Cyber Kill Chain
¿Qué es Cyber Kill Chain?
Cyber Kill ChainModelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
La Cyber Kill Chain, publicada por Lockheed Martin en 2011, divide una intrusión en siete fases secuenciales: reconocimiento, armamento, entrega, explotación, instalación, mando y control y acciones sobre los objetivos. El modelo invita a los defensores a detectar, denegar, interrumpir, degradar, engañar o destruir la actividad del adversario en cada paso, ya que romper un solo eslabón impide el éxito de la campaña. Fue uno de los primeros marcos centrados en el adversario ampliamente adoptados y sigue siendo útil para mapear controles, priorizar telemetría y comunicar la cronología de incidentes. Sus críticos señalan que se ajusta mejor a intrusiones clásicas con malware que a abusos internos, ataques cloud o espionaje sigiloso; muchos equipos lo combinan hoy con MITRE ATT&CK.
● Ejemplos
- 01
Mapear un incidente de phishing a ransomware en las siete fases para identificar qué controles fallaron.
- 02
Alinear EDR, seguridad de correo y red con etapas concretas de la kill chain.
● Preguntas frecuentes
¿Qué es Cyber Kill Chain?
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Cyber Kill Chain?
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
¿Cómo funciona Cyber Kill Chain?
La Cyber Kill Chain, publicada por Lockheed Martin en 2011, divide una intrusión en siete fases secuenciales: reconocimiento, armamento, entrega, explotación, instalación, mando y control y acciones sobre los objetivos. El modelo invita a los defensores a detectar, denegar, interrumpir, degradar, engañar o destruir la actividad del adversario en cada paso, ya que romper un solo eslabón impide el éxito de la campaña. Fue uno de los primeros marcos centrados en el adversario ampliamente adoptados y sigue siendo útil para mapear controles, priorizar telemetría y comunicar la cronología de incidentes. Sus críticos señalan que se ajusta mejor a intrusiones clásicas con malware que a abusos internos, ataques cloud o espionaje sigiloso; muchos equipos lo combinan hoy con MITRE ATT&CK.
¿Cómo defenderse de Cyber Kill Chain?
Las defensas contra Cyber Kill Chain combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cyber Kill Chain?
Nombres alternativos comunes: Cadena de ataque de Lockheed Martin, Cadena de intrusión.
● Términos relacionados
- defense-ops№ 905
Reconocimiento
Primera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión.
- defense-ops№ 535
Acceso Inicial
Táctica de MITRE ATT&CK (TA0001) que agrupa las técnicas con las que un atacante consigue su primer punto de apoyo dentro del entorno objetivo.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- malware№ 201
Mando y control (C2)
Infraestructura y canales que los atacantes usan para mantener comunicación con los sistemas comprometidos y enviarles instrucciones.
- defense-ops№ 315
Diamond Model de Análisis de Intrusiones
Marco de análisis de intrusiones que vincula cada evento malicioso a cuatro vértices: adversario, capacidad, infraestructura y víctima.
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.