CYBER KILL CHAIN
Thyra Bytes
CYBER KILL CHAIN:
Cómo piensa un atacante (y por qué entenderlo lo cambia todo)
Cuando pensamos en un ciberataque solemos imaginar “alguien hackeando algo”.
Pero la realidad es bastante menos caótica… y mucho más metódica.
La Cyber Kill Chain, propuesta por Lockheed Martin, es un modelo que describe las fases que sigue un ataque avanzado, especialmente los APT (Advanced Persistent Threats).
No es una herramienta técnica en sí, sino una forma de pensar: entender cómo se construye un ataque paso a paso.
Y aquí viene lo importante: si rompes una fase, rompes el ataque entero.
Vamos fase por fase, sin humo, con tecnicismos explicados y con ejemplos reales de lo que pasa “al otro lado”.
FASES
Todo ataque serio empieza sin tocar nada.
En esta fase el atacante recopila información del objetivo de forma pasiva o semi-pasiva:
Dominios y subdominios
Rangos de IP
Servicios expuestos
Tecnologías usadas (frameworks, servidores, versiones)
Información pública: empleados, correos, proveedores (OSINT)
Aquí entran técnicas como:
Fingerprinting → identificar sistemas sin explotarlos
Port scanning → ver qué puertas están abiertas
OSINT → redes sociales, leaks, metadata, documentos públicos
Mentalidad atacante: “Cuanto más sepa antes, menos ruido haré después.”
1. Reconaissance - Reconocimiento
2. Weaponization — Preparación del arma
Con la información en la mano, el atacante construye el arma.
Aquí ocurre algo clave: Exploit + Payload = Arma
Exploit: la vulnerabilidad que se va a aprovechar
Payload: lo que ocurre cuando se aprovecha (reverse shell, malware, beacon…)
Ejemplos reales:
Un PDF con una macro maliciosa
Un binario aparentemente legítimo
Un script adaptado a una versión concreta del sistema
Un exploit personalizado para un servicio concreto
Nada se lanza “al azar”.
Todo está adaptado al objetivo.
3. Delivery — Entrega
Ahora la pregunta es sencilla (y peligrosa): ¿Cómo hago llegar esto al objetivo?
Algunos métodos clásicos:
Phishing (correos, adjuntos, enlaces)
Webs comprometidas
Servicios expuestos mal configurados
Descargas “legítimas” manipuladas
Aquí el atacante juega con psicología, confianza y rutinas humanas.
Muchas defensas modernas intentan detectar esta fase, porque aún no se ha ejecutado nada… pero el peligro ya está dentro.
4. Exploitation — Explotación
Este es el clic, el doble clic, el servicio vulnerable que responde.
La vulnerabilidad se aprovecha y el payload se ejecuta.
El atacante consigue su acceso inicial.
Puede ser:
Una shell
Un usuario comprometido
Un proceso ejecutándose en segundo plano
Desde fuera parece “un momento”, pero en realidad es el resultado de todo lo anterior.
5. Installation — Instalación y persistencia
Un atacante no quiere entrar… y desaparecer. Quiere quedarse.
En esta fase:
Se instalan backdoors
Se crean tareas programadas
Se modifican configuraciones del sistema
Se intenta pasar desapercibido
El objetivo es mantener el acceso aunque el sistema se reinicie o cambie.
Aquí empieza el juego del sigilo.
6. Command and Control (C2) — Comunicación
Un sistema comprometido necesita instrucciones.
El atacante establece un canal C2 (Command & Control) para:
Enviar órdenes
Recibir resultados
Actualizar herramientas
Algunos canales comunes son: HTTP / HTTPS, DNS tunneling, canales cifrados personalizados...
Desde fuera, muchas veces parece tráfico normal. Y ahí está el truco.
7. Actions on Objectives — Acciones sobre el objetivo
Este es el verdadero motivo del ataque.
Dependiendo del objetivo:
Exfiltración de datos
Movimiento lateral por la red
Espionaje
Sabotaje
Ransomware
Destrucción de sistemas
Todo lo anterior era preparación. Aquí se ejecuta la intención real.
Por qué este modelo importa
La Cyber Kill Chain no es solo teoría.
Sirve para:
Pensar como atacante
Diseñar mejores defensas
Detectar ataques antes de que sea tarde
Entender que la seguridad no es un “sí o no”, sino una cadena
Rompe una fase y rompes el ataque.
Y por eso, tanto en Red Team como en Blue Team, este modelo sigue siendo una referencia.