Explica la Cyber Kill Chain de Lockheed Martin y cómo la usa un equipo azul.
Respuesta breve
La Cyber Kill Chain modela una intrusión como siete etapas secuenciales: reconocimiento, armamentización, entrega, explotación, instalación, comando y control (C2) y acciones sobre objetivos. Los defensores asignan detecciones y controles a cada etapa; como las etapas son secuenciales, romper un solo eslabón —bloquear el correo de phishing, matar el C2— interrumpe todo el ataque. Empuja a detectar pronto en vez de solo en la brecha final.
La Cyber Kill Chain, de Lockheed Martin, da al equipo azul un vocabulario compartido sobre en qué punto de una intrusión están detectando y dónde podrían intervenir. Los entrevistadores la usan para ver si piensas los ataques como un proceso con muchos puntos de interrupción, y no como un único momento de «que te hackean».
Las siete etapas
- Reconocimiento: el atacante investiga el objetivo (OSINT, escaneo, listas de empleados).
- Armamentización: empareja un exploit con una carga útil, p. ej. una macro maliciosa en un documento.
- Entrega: la transmite: correo de phishing, sitio de abrevadero, USB.
- Explotación: la carga útil se ejecuta abusando de una vulnerabilidad o engañando a un usuario.
- Instalación: el malware establece persistencia en el host.
- Comando y control (C2): el implante llama de vuelta al atacante para recibir instrucciones.
- Acciones sobre objetivos: el atacante logra su meta: robo de datos, cifrado, sabotaje.
Cómo la usan los defensores
Asigna un control y una detección a cada eslabón: el filtrado de correo y la formación de usuarios interrumpen la entrega; los parches y las mitigaciones de exploits interrumpen la explotación; el EDR y la lista de aplicaciones permitidas atrapan la instalación; el filtrado de DNS y de salida rompe el C2. Como las etapas son secuenciales, romper un solo eslabón impide que el atacante alcance su objetivo, y cuanto antes lo rompas, más barata es la respuesta.
Por qué importa
La kill chain es deliberadamente simple, lo que es su fortaleza y su crítica: es lineal y muy centrada en malware y perímetro, así que muchos equipos la combinan con MITRE ATT&CK para técnicas granulares. Una buena respuesta recita las etapas, explica que «defensa en profundidad = una oportunidad de romper la cadena en cada etapa» y reconoce los límites del modelo.
Posibles preguntas de seguimiento
- ¿Por qué detectar en la etapa de entrega o explotación es mejor que en las acciones sobre objetivos?
- ¿Cuáles son las principales críticas a la kill chain frente a MITRE ATT&CK?
- ¿Dónde atraparía un EDR a un atacante con más probabilidad en esta cadena?