La Cyber Kill Chain es el modelo que descompone un ciberataque en siete fases secuenciales, desde que el atacante recopila información sobre su objetivo hasta que consigue su meta final. Lockheed Martin la publicó en 2011 y sigue siendo el marco de referencia para entender la lógica de una intrusión y, sobre todo, para decidir dónde colocar controles que rompan la cadena antes de que el adversario llegue al último eslabón.
Esta guía explica qué es la Cyber Kill Chain y de dónde viene, detalla sus siete fases con un control defensivo concreto para cada una, presenta la Unified Kill Chain (la extensión de 18 fases de Paul Pols) como evolución moderna, la compara con MITRE ATT&CK y muestra cómo se operacionaliza en el día a día de un SOC y de un equipo de threat hunting.
Qué es la Cyber Kill Chain
El término "kill chain" procede de la doctrina militar de targeting (el ciclo de identificar, fijar y neutralizar un objetivo). En 2011, los investigadores Eric Hutchins, Michael Cloppert y Rohan Amin, de Lockheed Martin, lo adaptaron a la defensa de redes en el artículo Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains.
La idea central es sencilla y potente: una intrusión avanzada no es un evento único, sino una progresión de pasos encadenados. El defensor no necesita bloquear todos los pasos, le basta con romper un solo eslabón para frustrar el ataque completo. Y cada eslabón es una oportunidad distinta para detectar, denegar o interrumpir la operación del adversario.
Las 7 fases de la Cyber Kill Chain
El modelo describe siete fases lineales. Para cada una conviene tener claro qué hace el atacante y qué control defensivo lo frena.
1. Reconocimiento (Reconnaissance)
El atacante recopila información sobre el objetivo: dominios, rangos de IP, tecnologías expuestas, correos corporativos y perfiles de empleados. Se apoya en OSINT y en herramientas como theHarvester, Shodan o buscadores de subdominios.
Control defensivo: reducir la superficie de exposición, monitorizar menciones de marca y credenciales filtradas en fuentes abiertas y en la dark web, y desplegar honeytokens que alerten cuando alguien sondea activos sensibles.
2. Armamentización (Weaponization)
El adversario prepara el artefacto malicioso: acopla un exploit a un documento ofimático, genera un implante o troyaniza un instalador legítimo. Ocurre en su propia infraestructura, fuera del alcance directo del defensor.
Control defensivo: como no se observa en tiempo real, la defensa se apoya en threat intelligence y en análisis de malware. Las reglas YARA sobre familias de builders conocidas y la detonación en sandbox del material que sí llega ayudan a inferir la capacidad del atacante.
3. Entrega (Delivery)
Es el vector que introduce el artefacto en el entorno víctima: phishing con adjunto, enlace a un sitio comprometido, dispositivo USB o explotación de un servicio expuesto. El correo sigue siendo el canal dominante, y por él se distribuyen buena parte de los infostealers.
Control defensivo: pasarela de correo con sandboxing, SPF, DKIM y DMARC en modo reject, filtrado web mediante proxy y formación continua de los usuarios.
4. Explotación (Exploitation)
El código se ejecuta aprovechando una vulnerabilidad (por ejemplo, un CVE sin parchear) o engañando al usuario para que habilite macros o ejecute un archivo.
Control defensivo: gestión de parches con SLA por criticidad, protecciones de memoria (DEP, ASLR, CFG), prevención de exploits del EDR y bloqueo por GPO de las macros descargadas de Internet.
5. Instalación (Installation)
El atacante establece persistencia para sobrevivir a reinicios: tarea programada, servicio, clave de registro Run, DLL sideloading o creación de una cuenta nueva.
Control defensivo: allowlisting de aplicaciones con AppLocker o WDAC, EDR vigilando la creación de tareas programadas (evento 4698) y servicios, y monitorización de integridad de ficheros en rutas críticas.
6. Mando y control (Command and Control, C2)
El implante abre un canal con el operador para recibir órdenes: HTTPS, tunneling por DNS, dominios de fast flux o frameworks como Cobalt Strike.
Control defensivo: filtrado DNS, inspección y filtrado del tráfico de salida, detección de red (NDR) capaz de identificar balizas periódicas y bloqueo de los indicadores de C2 publicados por los feeds de threat intelligence.
7. Acciones sobre objetivos (Actions on Objectives)
El adversario cumple su meta real: exfiltración de datos, cifrado por ransomware, fraude financiero o destrucción de información.
Control defensivo: DLP para frenar la fuga de datos, microsegmentación de la red, copias de seguridad inmutables y desconectadas, y honeypots que revelen el movimiento lateral antes de que llegue el impacto.
Romper la cadena: la matriz de cursos de acción
Lockheed Martin no propuso solo las fases, sino también una matriz de cursos de acción (courses of action) que cruza cada fase con seis respuestas defensivas: detectar, denegar, interrumpir, degradar, engañar y destruir. El principio rector es de defensa en profundidad: cuanto antes se rompa un eslabón, menor es el coste del incidente. Un atacante bloqueado en la fase de entrega no llega nunca a instalar nada ni a exfiltrar datos.
La Unified Kill Chain
La Cyber Kill Chain clásica recibió críticas fundadas: es demasiado lineal, está centrada en malware y perímetro, y no modela bien el movimiento lateral, el abuso de cuentas válidas ni las técnicas living off the land. En 2017, Paul Pols, junto con Fox-IT y la Cyber Security Academy de La Haya, publicó la Unified Kill Chain, revisada en 2021, que fusiona la kill chain de Lockheed Martin con MITRE ATT&CK en un modelo de 18 fases agrupadas en tres bloques:
- In (conseguir el punto de apoyo inicial): Reconnaissance, Weaponization, Delivery, Social Engineering, Exploitation, Persistence, Defense Evasion y Command and Control.
- Through (propagación por la red): Pivoting, Discovery, Privilege Escalation, Execution, Credential Access y Lateral Movement.
- Out (acción sobre los objetivos): Collection, Exfiltration, Impact y Objectives.
La ventaja práctica es que la Unified Kill Chain describe con detalle la parte del ataque que ocurre ya dentro del perímetro, justo donde la kill chain original se quedaba corta y donde se concentra el trabajo de un equipo de threat hunting.
Cyber Kill Chain frente a MITRE ATT&CK
Ambos marcos describen ataques, pero operan a distinto nivel de abstracción. La Cyber Kill Chain es lineal y de alto nivel (siete fases), ideal para la narrativa ejecutiva y para razonar dónde colocar controles. MITRE ATT&CK es una matriz modular y granular, con 14 tácticas Enterprise y cientos de técnicas con identificador propio, pensada para el trabajo técnico de detección.
No son excluyentes. La fase "Installation" de la kill chain se corresponde con la táctica Persistence de ATT&CK, "Command and Control" con Command and Control, y "Actions on Objectives" se despliega en Collection, Exfiltration e Impact. En la práctica, los equipos usan la kill chain como esqueleto narrativo y ATT&CK como el mapa táctico detallado. La comparación completa, táctica a táctica, está desarrollada en la guía de MITRE ATT&CK.
Cómo operacionalizarla en un SOC
La Cyber Kill Chain deja de ser teoría cuando se integra en el flujo de trabajo defensivo:
- Mapeo de controles por fase: cada regla de SIEM, EDR y NDR se etiqueta con la fase que cubre, para visualizar en qué eslabones hay cobertura sólida y en cuáles hay zonas de sombra.
- Reconstrucción de incidentes: durante un DFIR, ubicar cada evidencia en su fase ayuda a entender hasta dónde llegó el atacante y qué queda por contener.
- Hipótesis de threat hunting por fase: en la fase de C2, cazar balizas periódicas hacia dominios de baja reputación; en la de Instalación, buscar tareas programadas creadas por cuentas no administrativas.
- Ejercicios de purple team: el Red Team ejecuta una cadena completa y el Blue Team valida en qué fase habría detectado y detenido el ataque, midiendo la profundidad real de la defensa.
- Reporting a dirección: un diagrama con las siete fases coloreadas según la cobertura comunica hasta dónde llegó un ataque simulado mucho mejor que una tabla de indicadores.
Preguntas frecuentes
¿Quién creó la Cyber Kill Chain y cuándo?
La publicó Lockheed Martin en 2011, en un artículo firmado por Eric Hutchins, Michael Cloppert y Rohan Amin. El concepto de "kill chain" procede de la doctrina militar de targeting y se adaptó a la defensa de redes informáticas.
¿Cuántas fases tiene la Cyber Kill Chain?
Siete: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control y Actions on Objectives. La Unified Kill Chain amplía el modelo a 18 fases.
¿Cuál es la diferencia entre la Cyber Kill Chain y la Unified Kill Chain?
La original es lineal, de siete fases y centrada en el perímetro. La Unified Kill Chain (Paul Pols, 2017 y 2021) tiene 18 fases, integra MITRE ATT&CK y modela también lo que ocurre dentro de la red: pivoting, escalada de privilegios, movimiento lateral y acceso a credenciales.
¿La Cyber Kill Chain sustituye a MITRE ATT&CK?
No, se complementan. La kill chain aporta la narrativa de alto nivel y ATT&CK el detalle técnico por cada técnica. La mayoría de los equipos maduros usan los dos marcos a la vez.
¿Sigue siendo útil la Cyber Kill Chain en 2026?
Sí, como marco conceptual y de comunicación. Para ataques modernos sin malware o basados en abuso de identidad conviene complementarla con la Unified Kill Chain y con ATT&CK, que cubren mejor las fases internas de la intrusión.
Recursos relacionados
- Qué es MITRE ATT&CK: el mapa táctico granular que complementa la kill chain.
- Qué es threat hunting: la disciplina que caza atacantes en las fases internas del modelo.
- Monitorización de la dark web: visibilidad temprana en la fase de reconocimiento.
- Qué es un infostealer: una de las cargas más frecuentes en la fase de entrega.
- Ransomware en España 2026: el desenlace típico de la fase de acciones sobre objetivos.
Cyber Kill Chain en Secra
En Secra usamos la Cyber Kill Chain y la Unified Kill Chain para estructurar los informes de nuestros ejercicios de Red Team y para medir en qué fase detectaría y detendría un ataque la defensa del cliente. El entregable no es un diagrama bonito, sino un mapa de cobertura por fase que el equipo de seguridad mantiene después del proyecto y usa para priorizar dónde invertir. Si quieres validar la profundidad de tu defensa o integrar inteligencia táctica en tu SOC, escríbenos por contacto o consulta nuestro servicio de threat intelligence.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

