9/3/2021 7 TÁCTICAS EFICACES PARA ROMPER LA CADENA DE ATAQUE / CYBER KILL CHAIN DE LOCKHEED MARTIN

7 TÁCTICAS EFICACES PARA ROMPER LA CADENA DE

ATAQUE / CYBER KILL CHAIN DE LOCKHEED MARTIN
Escrito por marketing on 30/10/18 12:33
Compartir

El marco Cyber Kill Chain o Cadena de Ciberataque fue desarrollado por Lockheed Martin, con el
fin de lograr la identificación y prevención de la actividad de intrusiones cibernéticas. En estas
siete fases se identifica lo que los atacantes deben completar para lograr su objetivo.
Entendiendo cada fase podemos mejorar la visibilidad de un ataque y enriquecer la estrategia de
defensa al comprender las tácticas, técnicas y procedimientos del atacante.
Hablar de ciberataques no es nada nuevo, pero la forma en la que están logrando su objetivo
es más fuerte que nunca. Los atacantes son cada vez más sofisticados, están más preparados,
y llenos de skills y tácticas con las que planean la intrusión de campañas que se aprovechan de
las APT´s.
Si bien es cierto para cada organización la seguridad depende de forma crítica de la
infraestructura, así que la prioridad es que cada equipo de seguridad pueda identificar lo que se
requiere para entender a los atacantes, lo que los motiva y sus estrategias.
Tenemos que aceptar que los atacantes están intentando comprometer y extraer tu información y
no solo para un fin económico o político si no para dañar tu reputación demostrando lo fácil que
fue romper tu protección. Y aún peor, están demostrando sus conductas destructivas, sus
herramientas y técnicas pues cuentan con la habilidad suficiente para vencer los mecanismos de
defensa más comunes. Los atacantes hoy son sofisticados, motivados y llenos de recursos.

Nuestro objetivo es detener a los atacantes en cualquier

etapa, rompiendo la cadena de ataque.
De acuerdo con la guía tomando ventajas en cada fase de la cadena de ataque de Lockheed
Martin, los atacantes deben avanzar completamente a través de todas las fases para que tengan
éxito; lo que pone las probabilidades a nuestro favor, pues solo basta con bloquear su avance para
el éxito.
Si lo vemos de otra perspectiva, cada intrusión es una oportunidad para nosotros ya que
podemos entender más sobre nuestros atacantes, su modo de operación entre muchos otros
elementos más.
El modelo de cadena de ataque está diseñado en siete pasos, para los cuáles debemos:

Identificar el objetivo del defensor: comprender las acciones del agresor.

https://blog.smartekh.com/tacticas-eficaces-para-romper-la-cadena-de-ataque-cyber-kill-chain-de-lockheed-martin 1/3
9/3/2021 7 TÁCTICAS EFICACES PARA ROMPER LA CADENA DE ATAQUE / CYBER KILL CHAIN DE LOCKHEED MARTIN

Tener en cuenta que comprender es inteligencia.

Tener bien claro que el intruso tiene éxito si, y solo si, pueden continuar con los pasos.

Así que vamos a conocer las siete tácticas eficaces para romper la cadena de ataque en cada
una de sus fases:

Táctica 1) RECONOCIMIENTO. Identificando el Target-

Empresa Objetivo
Los atacantes planean su fase de operación, están en un proceso de investigación pata entender
cuáles son las empresas objetivo que cuadran con lo que están buscando.
¿Cómo rompo la cadena de ataque en esta fase?
Detecta el reconocimiento en tiempo "real" puede ser muy difícil, pero cuando los defensores
descubren el reconocimiento no significa que sea tarde, de hecho aunque los descubran
después, esto puede revelar la intención de los atacantes.

Táctica 2) SELECCIÓN DE MALWARE O

VULNERABILIDAD. Preparando la operación.
Los atacantes se encargan de preparar todo, seleccionan el malware o la vulnerabilidad que van a
atacar, para esta fases suelen utilizar herramientas automáticas; la inyección de troyanos, crypto
malware, ect; con el fin de explotarlos utilizando una puerta trasera o gap de seguridad.
¿Cómo rompo la cadena de ataque en esta fase?
Esta es una fase esencial para nosotros como defensores; pues aunque no pueden detectar el
uso de malware o vulnerabilidades, pueden inferir mediante el análisis adecuado de
vulnerabilidades y vectores de ataque. Las detecciones contra los vectores suelen ser las tácticas
de defensas más duraderas y resistentes.

Táctica 3) ENTREGA. Lanzamiento de la operación.

Implantación o carga de virus a través de email, pdf, usb, sitio web comprometido entre otros.
¿Cómo rompo la cadena de ataque en esta fase?
Si realizáramos una estrategia para romper la cadena, esta fase es la ideal para iniciar, pues esta
fase es la primera y más importante oportunidad para que como defensor puedas bloquear la
operación. Una media clave de la efectividad es la fracción de intentos de intrusión que se
bloquean en la etapa de entrega.

Táctica 4) EXPLOTACIÓN. Ganar el acceso a la víctima.

Explotar los resultados en el usuario comprometido, realizar la ejecución del virus de forma
exitosa.
¿Cómo rompo la cadena de ataque en esta fase?
Para esta fase, las medidas de protección tradicionales agregan agregan resistencia, sin embargo
es estrictamente necesaria las configuraciones personalizadas para detener los ataques de día
cero.

Táctica 5) INSTALACIÓN. Establecerse dentro del sistema.

Generalmente, los atacantes instalan una puerta trasera o un "implante"persistente en el entorno
de la víctima para mantener el acceso durante un período prolongado de tiempo.
¿Cómo rompo la cadena de ataque en esta fase?
En esta fase las herramientas de seguridad a nivel Endpoint son ideales para detectar y registrar
la actividad de instalación.Es muy importante analizar la fase de instalación durante el análisis de
https://blog.smartekh.com/tacticas-eficaces-para-romper-la-cadena-de-ataque-cyber-kill-chain-de-lockheed-martin 2/3
9/3/2021 7 TÁCTICAS EFICACES PARA ROMPER LA CADENA DE ATAQUE / CYBER KILL CHAIN DE LOCKHEED MARTIN

malware para crear nuevas mitigaciones a nivel endpoint.

Táctica 6) COMANDO Y CONTROL. Tomar control remoto de

los "implantes".
Aquí los atacantes se encargan de establecer la comunicación deseada con el canal de mando y
control con el fin de continuar operando sus activos internos de forma remota.
¿Cómo rompo la cadena de ataque en esta fase?
Esta pudiera ser la última"mejor oportunidad" para bloquear la operación, bloqueando el canal C2;
si los atacantes no pueden emitir ordenes, los defensores pueden evitar el impacto.

Táctica 7) ACCIÓN EN EL OBJETIVO. Lograr la meta de

forma exitosa.
Con el acceso directo al teclado los atacantes logran el objetivo de la misión, lo que suceda
después depende de quién este en el teclado.
¿Cómo rompo la cadena de ataque en esta fase?
Debemos tener presente que cuanto más tiempo tenga acceso total, mayor será el impacto. Como
defensor debemos detectar esta etapa lo más rápido posible, mediante el uso de pruebas
forenses, incluidas en las capturas de paquetes de la red para la evaluación de daños.
Pero, ¿qué pasa si en ninguna de las fases logramos romper la cadena? Es importante
considerar tres elementos: Análisis (Identificación de Patrones), Reconstrucción (Prevención de
futuros ataques), Resiliencia (Defensa de APT´s).

>> Solo una mitigación rompe la cadena<<

Como defensor podemos tomar ventaja de diferentes formas:

1. Mejorando la comunicación y mitigación de riesgos.

2. Creación de una verdadera resiliencia en la organización.
3. Resultados medibles.
4. Empezando una estrategia de defensa: recordando siempre no existe ningún elemento
seguro, sino defendible.
5. Cambia el chip, piensa de forma diferente cuando realices modificaciones en los procesos,
inversiones tecnológicas, métricas, las formas y canales de comunicación con tu equipo y
áreas o líderes y arquitecturas.
6. Conoce tus amenazas, no solo se trata de contar con protección para tu red, es defender
más allá de las red física, no te olvides de las plataformas, aplicaciones y usuarios móviles.

Ahora ya tienes los tips para evitar impactos y minimizar riegos, si quieres empezar un plan de
defensa para cubrir cada fase con tácticas y herramientas especializadas de acuerdo a tus
objetivos de negocio

https://blog.smartekh.com/tacticas-eficaces-para-romper-la-cadena-de-ataque-cyber-kill-chain-de-lockheed-martin 3/3