Qué es Cyber Kill Chain7 Fases de Ciberataque
Qué es Cyber Kill Chain7 Fases de Ciberataque
Seguridad
·13 Minutos de lectura

Qué es Cyber Kill Chain: Las 7 Fases de un Ciberataque

La Kill Chain ayuda a comprender y predecir las distintas fases de un ciberataque. Conocer cómo actúan los hackers permite a una empresa elegir las herramientas y estrategias adecuadas para limitar la brecha, responder a ataques inminentes y minimizar el riesgo.

Por qué Kill Chain

La Cyber Kill Chain es una adaptación de la Kill Chain militar, un enfoque paso a paso que identifica y detiene la actividad enemiga.

Este artículo explica el papel de las cadenas de eliminación cibernética. Examinamos cada etapa de un ataque y mostramos por qué las Kill Chain son vitales para las estrategias de defensa.

Todo sobre la Cyber Kill Chain

  1. ¿Qué es una Kill Chain?
    1. Los 7 Pasos de la Kill Chain
      1. Etapa 1: Reconnaissance (Reconocimiento)
        1. Paso 2: Weaponization (Armamento)
          1. Paso 3: Delivery (Entrega)
            1. Paso 4: Exploitation (Explotación)
              1. Etapa 5: Installation (Instalación)
                1. Paso 6: Command and control (C&C) ( Mando y control (C2) )
                  1. Paso 7: Actions (Acciones)
                  2. Un Ejemplo de Kill Chain
                    1. Deficiencias del Modelo Kill Chain
                      1. Centrarse en el perímetro
                        1. Identificación de amenazas en la primera y segunda fases
                          1. Falta de adaptación
                          2. La Base de Cualquier Estrategia de Seguridad
                            Tabla de Contenido

                            ¿Qué es una Kill Chain?

                            La Kill Chain (cadena de eliminación, cadena de ataque o cadena de asesinato en español) es un modelo de ciberseguridad que describe las etapas de un ciberataque. La cadena cibernética abarca todas las fases de la violación de una red, desde la planificación inicial y el espionaje hasta el objetivo final del ciberdelincuente.

                            Concepto de Cyber Kill Chain
                            Concepto de Cyber Kill Chain

                            Comprender las etapas de un ataque permite a las empresas planificar tácticas para prevenir y detectar a los atacantes. La Cyber Kill Chain ayuda a prepararse para todas las amenazas online habituales, incluidas:

                            • Ataques de ransomware.
                            • Pirateo de redes.
                            • Robos de datos.
                            • Amenazas persistentes avanzadas (APT, Advanced Persistent Threat).

                            El término “kill chain” tiene un origen militar. El concepto original definía la estructura de una operación del ejército e incluía:

                            • Definir el objetivo.
                            • Dirigir las fuerzas hacia el objetivo.
                            • Orden de golpear al objetivo.
                            • Destruir el objetivo.

                            Otro término para “Kill Chain” es cadena de los ciberataques.

                            Los 7 Pasos de la Kill Chain

                            Las siete etapas de la cadena asesina son los distintos pasos de un ataque con éxito. El equipo de seguridad tiene la oportunidad de detener a los atacantes en cada paso, pero lo ideal es que la empresa identifique y detenga las amenazas en la primera mitad de la cadena.

                            Infografía de las 7 Fases de la Kill Chain
                            Infografía de las 7 Fases de la Kill Chain

                            Etapa 1: Reconnaissance (Reconocimiento)

                            Durante la fase de reconocimiento, el atacante recopila la información necesaria. Los hackers seleccionan una víctima, investigan a fondo la empresa y buscan puntos débiles en la red objetivo.

                            Existen dos tipos de reconocimiento:

                            1. Reconocimiento pasivo: el hacker busca información sin interactuar con el objetivo. La víctima no tiene forma de conocer o grabar las acciones del agresor.
                            2. Reconocimiento activo: el hacker obtiene acceso no autorizado a la red e interactúa directamente con el sistema para recopilar información.

                            Durante esta fase, los atacantes evalúan los siguientes aspectos del sistema:

                            • Vulnerabilidades y puntos débiles del sistema de seguridad.
                            • La posibilidad de que se utilice a un cómplice infiltrado.
                            • Herramientas, dispositivos, protocolos de verificación y jerarquía de usuarios.

                            Una táctica de reconocimiento habitual consiste en recopilar las direcciones de correo electrónico y las cuentas de redes sociales de los empleados. Esta información resulta útil si un atacante decide utilizar la ingeniería social para acceder a la red.

                            Medidas de protección durante la fase de reconocimiento:

                            • Instalar cortafuegos para mejorar la protección del perímetro.
                            • Supervisar los puntos de entrada y los registros de visitantes para detectar comportamientos sospechosos.
                            • Asegurarse de que los empleados informan de correos electrónicos, llamadas y publicaciones en redes sociales sospechosos.
                            • Dar prioridad a la protección de las personas y los sistemas que son objetivos prioritarios de los servicios de inteligencia.
                            • Limitar la cantidad de datos empresariales disponibles públicamente.

                            Paso 2: Weaponization (Armamento)

                            Un equipo de ataque ha encontrado un punto débil en el sistema y sabe cómo crear un punto de entrada. El equipo criminal desarrolla entonces un virus o gusano para explotar la debilidad. Si los atacantes han encontrado una vulnerabilidad de día cero, suelen trabajar con rapidez hasta que la víctima ha descubierto y eliminado la vulnerabilidad.

                            Una vez que el malware está listo, los hackers suelen introducirlo en un documento común, como un PDF o un archivo de Office.

                            Medidas defensivas durante la fase de Armamento:

                            • Impartir formación sobre concienciación en materia de seguridad.
                            • Analizar artefactos de malware en busca de líneas temporales sospechosas y similitudes.
                            • Crear herramientas de detección de armamentos (herramientas automatizadas que combinan malware con exploits).

                            Paso 3: Delivery (Entrega)

                            Los delincuentes lanzan un ataque contra un entorno objetivo. Los métodos de infección varían, pero los más comunes son:

                            • Ataques de phishing.
                            • Dispositivos USB infectados.
                            • Explotación de fallos de hardware o software.
                            • Cuentas de usuario comprometidas.
                            • Arranque de disco en el que se instala malware junto con software normal.
                            • Hackeo directo a través de un puerto abierto u otro punto de acceso externo.

                            El objetivo de este paso es infiltrarse y hacerse un hueco silenciosamente en un sistema. Una táctica popular es un ataque DDoS simultáneo para distraer a los defensores e infectar la red sin perturbar los sistemas de seguridad.

                            Medidas defensivas durante la fase de entrega:

                            • Protección contra los ataques de phishing.
                            • Utilizar herramientas de gestión de parches.
                            • Marcar e investigar los cambios en archivos y carpetas con File Integrity Monitoring (FIM).
                            • Rastrear comportamientos extraños de los usuarios, como horas de inicio de sesión o ubicaciones extrañas.
                            • Realizar pruebas de penetración para identificar proactivamente riesgos y puntos débiles.

                            Paso 4: Exploitation (Explotación)

                            El malware está dentro del sistema y los administradores no son conscientes de la amenaza. El cuarto paso en la cyber kill chain es la explotación dentro de la red.

                            Una vez realizado el exploit, los atacantes obtienen acceso a la red. Ahora, habiendo obtenido acceso abierto, los atacantes pueden:

                            • Instalar las herramientas necesarias.
                            • Modificar los certificados de seguridad.
                            • Crear archivos de script.
                            • Buscar vulnerabilidades adicionales para obtener un mejor punto de apoyo antes de lanzar el ataque principal.

                            Para los atacantes es muy importante mantener oculta su presencia. Los atacantes suelen borrar archivos y metadatos, sobrescribir datos con marcas de tiempo falsas y alterar documentos para pasar desapercibidos.

                            Medidas de protección durante la fase de instalación:

                            • Mantener tus dispositivos actualizados.
                            • Utilizar programas antivirus.
                            • Instalar un sistema de detección de intrusos en el host para impedir o bloquear las rutas de instalación habituales.
                            • Realizar análisis periódicos de vulnerabilidades.

                            Etapa 5: Installation (Instalación)

                            Los atacantes no solo instalan malware, sino que también se desplazan a otros sistemas (movimiento lateral) y cuentas de la red, dejando puntos de acceso remoto (lo que se conoce como puerta trasera). El objetivo es obtener permisos más elevados y acceder a más datos. Las técnicas habituales en esta fase son:

                            • Explotación de vulnerabilidades de contraseñas.
                            • Ataques de fuerza bruta.
                            • Extracción de credenciales.
                            • Atacar vulnerabilidades adicionales del sistema.

                            Medidas defensivas durante la fase de movimiento lateral:

                            • Implantar la seguridad de Confianza Cero para limitar el acceso a cuentas y programas comprometidos.
                            • Utilizar la segmentación de red para aislar sistemas individuales.
                            • Eliminar el uso de cuentas compartidas.
                            • Aplicar las mejores prácticas de seguridad de contraseñas.
                            • Comprobar todas las actividades sospechosas de los usuarios con privilegios.

                            Paso 6: Command and control (C&C) ( Mando y control (C2) )

                            El malware sofisticado de nivel APT requiere interacción manual para funcionar, por lo que los atacantes necesitan acceso mediante teclado al entorno objetivo. El último paso antes de la fase de ejecución es establecer un canal de mando y control (C2) con un servidor externo.

                            Los hackers suelen llegar al C2 mediante una baliza a través de un canal de red externo. Las balizas suelen basarse en HTTP o HTTPS y parecen tráfico normal gracias a cabeceras HTTP falsificadas.

                            Si el objetivo del ataque es la exfiltración de datos, los atacantes comienzan a colocar los datos objetivo en paquetes en la etapa C2. Una ubicación típica para los paquetes de datos es una parte de la red con poca o ninguna actividad o tráfico.

                            Medidas de protección en la fase de mando y control:

                            • Buscar infraestructuras C2 al analizar el malware.
                            • Requerir servidores proxy para todos los tipos de tráfico (HTTP, DNS).
                            • Explorar constantemente en busca de amenazas.
                            • Configurar sistemas de detección de intrusos para que te alerten de todos los programas nuevos que entren en la red.

                            Paso 7: Actions (Acciones)

                            Los atacantes actúan para ejecutar el objetivo del ataque. Los objetivos pueden variar, pero los más comunes son los siguientes:

                            • Cifrado de datos.
                            • Exfiltración de datos.
                            • Destrucción de datos.

                            Justo antes de que comience un ataque, los atacantes cubren sus huellas, creando el caos en la red. El objetivo es confundir y ralentizar a los equipos de seguridad y forenses de la siguiente manera:

                            • Borrar los registros para enmascarar la actividad.
                            • Eliminar archivos y metadatos.
                            • Sobrescribir datos con marcas de tiempo incorrectas e información engañosa.
                            • Modificar datos vitales para que parezcan normales incluso en presencia de un ataque.

                            Algunos ciberdelincuentes también lanzan otro ataque DDoS para desviar los controles de seguridad durante la extracción de datos.

                            Medidas de protección en la fase de acciones:

                            • Elaborar un plan de acción en caso de incidente que establezca un plan claro de comunicación y evaluación de daños en caso de ataque.
                            • Utilizar herramientas para detectar indicios de violaciones de datos en curso.
                            • Respuesta inmediata de los analistas a todas las alertas.

                            Un Ejemplo de Kill Chain

                            Ejemplo de un ciberataque en computadora
                            Ejemplo de un ciberataque en computadora

                            El siguiente ejemplo de Cyber Kill Chain muestra las diferentes etapas en las que un equipo de seguridad puede detectar y prevenir un ataque de ransomware a un usuario:

                            1. Los hackers llevan a cabo operaciones de reconocimiento para encontrar un punto débil en un sistema objetivo.
                            2. Los ciberdelincuentes crean un exploit de ransomware y lo colocan en un archivo adjunto de correo electrónico. A continuación, los hackers envían un correo electrónico de phishing a uno o varios empleados.
                            3. El usuario comete el error de abrir y ejecutar el programa desde el buzón.
                            4. El ransomware se instala en la red objetivo y crea una puerta trasera.
                            5. El programa accede a la infraestructura maliciosa y notifica al atacante el éxito de la infección.
                            6. Los atacantes recorren el sistema en busca de datos sensibles.
                            7. Los atacantes se hacen con el control del C2 y comienzan a cifrar los archivos objetivo.

                            Deficiencias del Modelo Kill Chain

                            La Kill Chain es un marco a partir del cual una empresa puede desarrollar sus tácticas y procesos de seguridad. Sin embargo, la Kill Chain también tiene algunas desventajas que merece la pena señalar.

                            Centrarse en el perímetro

                            La cadena original de ciberataques surgió en un momento en que la mayoría de las amenazas procedían del exterior de la organización. En el panorama actual de la seguridad, considerar el perímetro como la principal superficie de ataque tiene dos problemas:

                            El uso de la nube y la microsegmentación han eliminado el concepto de seguridad “cerrojo”.
                            Las amenazas internas son tan peligrosas como las externas.

                            Cómo resolver este problema: Crear una cadena de derrota (Kill Chain) bien diseñada, teniendo en cuenta los peligros tanto dentro como fuera del perímetro. Configurar la supervisión de la nube para asegurarte de que tus activos están seguros tanto in situ como en la nube.

                            Alerta de amenaza de ataque cibernético
                            Alerta de amenaza de ataque cibernético

                            Identificación de amenazas en la primera y segunda fases

                            Las fases de reconocimiento y armamento de la cadena de ciberataque tienen lugar fuera de la línea de visión de la empresa. Detectar los ataques durante estas etapas es muy difícil. Incluso si observa un comportamiento extraño, es imposible determinar la gravedad de la amenaza.

                            Cómo resolver este problema: no ignores los primeros indicios de un posible ataque tratándolos como un incidente aislado. Analiza cada acción que parezca un reconocimiento activo o una prueba de armamento.

                            Falta de adaptación

                            La primera Kill Chain apareció en 2011, cuando Lockheed-Martin creó un modelo de seguridad para proteger su red (ver la guía original aquí). Desde entonces, la naturaleza y composición de los ciberataques ha cambiado significativamente, por lo que algunos creen que Kill Chain no puede preparar a una empresa para las amenazas actuales.

                            Cómo resolver este problema: No crees una cadena de ciberamenazas y nunca actualices su modelo. Una sólida cadena de derrota debe evolucionar para seguir siendo eficaz contra las amenazas más recientes, especialmente las APT. A medida que la empresa crezca, hay que revisar la cadena para tener en cuenta las nuevas superficies de ataque y las amenazas potenciales.

                            La Base de Cualquier Estrategia de Seguridad

                            Aunque la Kill Chain no es una herramienta o mecanismo de seguridad, te ayuda a elegir las estrategias y técnicas adecuadas para detener los ataques en las diferentes etapas. Utiliza la Kill Chain como base para una estrategia de seguridad eficaz y sigue haciendo crecer tu empresa sin preocuparte por costosos fallos.

                            Mi Carro Close (×)

                            Tu carrito está vacío
                            Ver tienda