Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es la cadena de ataque?

La cadena de (ciber)ataque es una adaptación de la cadena de ataque militar; un enfoque paso a paso que identifica y detiene la actividad enemiga. Desarrollada originalmente por Lockheed Martin en 2011, la cadena de ataque describe las distintas etapas de varios ciberataques habituales y, por extensión, los puntos en los que el equipo de seguridad de la información puede prevenir, detectar o interceptar el ciberdelito.

La cadena de ataque está destinada a la defensa contra ciberataques sofisticados, también conocidos como amenazas persistentes avanzadas (APT), en los que el adversario pasa un tiempo significativo vigilando y planificando un ataque. Por lo general, estos ataques implican una combinación de malware, ransomware, troyanos, suplantación de identidad y técnicas de ingeniería social para cumplir su objetivo.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

Las 8 fases del proceso de la cadena de ataque

El modelo original de la cadena de ataque de Lockheed Martin se componía de siete pasos secuenciales:

Fase 1: Reconocimiento

Durante la fase de reconocimiento, un atacante identifica un objetivo y explora vulnerabilidades y debilidades que puedan explotarse en la red. Como parte de este proceso, el ciberdelincuente puede recopilar credenciales de inicio de sesión o reunir otra información, como direcciones de correo electrónico, identificaciones de usuario, ubicaciones físicas, aplicaciones de software y detalles del sistema operativo, todo lo cual puede resultar útil en ataques de phishing o suplantación de identidad. En términos generales, cuanto más información pueda reunir el ciberdelincuente durante la fase de reconocimiento, más sofisticado y convincente será el ataque, y, por ende, mayor será la probabilidad de éxito.

Fase 2: Preparación

Durante la fase de preparación, el ciberdelincuente crea un vector de ataque, como malware de acceso remoto, ransomware, un virus o un gusano que pueda aprovechar una vulnerabilidad conocida. Durante esta fase, el ciberdelincuente también puede configurar puertas traseras para poder seguir accediendo al sistema si se identifica su punto de entrada original y los administradores de la red lo cierran.

Fase 3: Distribución

En la fase de distribución, el intruso lanza el ataque. Los pasos específicos que se adopten dependerán del tipo de ataque que se pretenda llevar a cabo. Por ejemplo, el ciberdelincuente puede enviar archivos adjuntos a un correo electrónico o un enlace malicioso para alentar al usuario a actuar con el fin de avanzar su plan. Esta actividad puede combinarse con técnicas de ingeniería social para aumentar la eficacia de la campaña.

Fase 4: Explotación

En la fase de explotación, el código malicioso se ejecuta en el sistema de la víctima.

Fase 5: Instalación

Inmediatamente después de la fase de explotación, el malware u otro vector de ataque se instalará en el sistema de la víctima. Este es un punto de inflexión en el ciclo de vida del ataque, ya que el atacante ha accedido al sistema y ahora puede asumir el control.

Fase 6: Comando y control

En la fase de comando y control, el ciberdelincuente puede emplear el malware para asumir el control remoto de un dispositivo o asumir una identidad en la red objetivo. En esta etapa, el ciberdelincuente también podrá moverse lateralmente en la red, ampliando su acceso y estableciendo otros puntos de entrada futuros.

Fase 7: Acciones sobre los objetivos

En esta etapa, el ciberdelincuente toma medidas para lograr sus fines previstos, que pueden incluir el robo, la destrucción, el cifrado o la exfiltración de datos.

Con el tiempo, muchos expertos en seguridad de la información han ampliado la cadena de ataque para incluir una octava fase: la monetización. En esta fase, el ciberdelincuente se centra en obtener ingresos del ataque, ya sea mediante algún tipo de rescate que deba pagar la víctima o vendiendo información sensible, como datos personales o secretos comerciales, en la dark web.

En términos generales, cuanto antes pueda la organización detener la amenaza dentro del ciclo de vida del ciberataque, menor riesgo asumirá. Los ataques que llegan a la fase de comando y control generalmente requieren esfuerzos de corrección mucho más avanzados, como análisis exhaustivos de la red y los endpoints, para determinar la escala y profundidad del ataque. Así pues, las organizaciones deben tomar medidas para identificar y neutralizar las amenazas lo antes posible en el ciclo de vida a fin de minimizar tanto el riesgo de un ataque como el coste de su resolución.

Evolución de la cadena de ataque

Como ya se ha mencionado, la cadena de ataque sigue evolucionando conforme los ciberdelincuentes modifican sus técnicas. Desde que se lanzó el modelo original en 2011, los ciberdelincuentes se han vuelto mucho más sofisticados en sus técnicas y más descarados en sus actividades.

Si bien sigue siendo una herramienta útil, el ciclo de vida de un ciberataque es mucho menos predecible y claro hoy que hace una década. Por ejemplo, no es raro que los ciberdelincuentes se salten pasos o los combinen, sobre todo en la primera mitad del ciclo de vida. Esto da a las organizaciones menos tiempo y oportunidades para descubrir y neutralizar amenazas en las primeras etapas del ciclo de vida. Además, la prevalencia del modelo de la cadena de ataque puede dar a los ciberatacantes una indicación de cómo estructuran su defensa las organizaciones, lo que podría ayudarles inadvertidamente a evitar la detección en puntos clave en el ciclo de vida del ataque.

Críticas e inquietudes en torno a la cadena de ataque

Aunque la cadena de ataque es un marco popular y habitual a partir del cual las organizaciones pueden comenzar a desarrollar una estrategia de ciberseguridad, adolece de ciertas deficiencias importantes y potencialmente devastadoras.

Seguridad del perímetro

Una de las críticas más comunes al modelo de la cadena de ataque es que se centra en la seguridad del perímetro y en la prevención del malware. Esta es una inquietud especialmente urgente a medida que las organizaciones se alejan de las redes locales tradicionales en favor de la nube.

Asimismo, una aceleración de la adopción del teletrabajo y una proliferación de dispositivos personales, tecnología del IoT e incluso aplicaciones avanzadas como la automatización de procesos robóticos (RPA) han aumentado exponencialmente la superficie de ataque para muchas organizaciones empresariales. Esto significa que los ciberdelincuentes tienen muchos más puntos de acceso que pueden aprovechar y las empresas tendrán más dificultades para proteger todos y cada uno de los endpoints.

Vulnerabilidades de ataque

Otra posible deficiencia de la cadena de ataque es que está limitada en lo que respecta a los tipos de ataque que pueden detectarse. Por ejemplo, el marco original no es capaz de detectar amenazas internas, que son uno de los riesgos más graves para una organización y uno de los tipos de ataque que tiene mayores tasas de éxito. Los ataques que aprovechan credenciales comprometidas debido a la actuación de partes no autorizadas tampoco pueden detectarse dentro del marco original de la cadena de ataque.

Los ataques basados en la web también pueden pasar desapercibidos para el marco de la cadena de ataque. Algunos ejemplos de estos ataques serían los scripts entre sitios (XSS), la inyección SQL, los ataques DoS/DDoS y algunos exploits de día cero. La brecha masiva de Equifax de 2017, que en parte se produjo debido a un parche de software defectuoso, es un ejemplo significativo de un ataque web que no se detectó debido a una seguridad insuficiente.

Por último, si bien el marco se concibió para detectar ataques sofisticados y muy bien pensados, la cadena de ataque a menudo pasa por alto aquellos ciberdelitos que no implican un reconocimiento significativo. Por ejemplo, aquellos que prueban a "disparar sin apuntar" a menudo evitan por pura casualidad las trampas de detección cuidadosamente colocadas.

El papel de la cadena de ataque en la ciberseguridad

Pese a sus deficiencias, la cadena de ataque juega un papel importante al ayudar a las organizaciones a delimitar su estrategia de ciberseguridad. Como parte de este modelo, las organizaciones deben adoptar servicios y soluciones que les permitan:

  • Detectar ciberdelincuentes en cada etapa del ciclo de vida de la amenaza con técnicas de inteligencia sobre amenazas
  • Evitar el acceso de usuarios no autorizados
  • Impedir que usuarios no autorizados compartan, guarden, alteren, filtren o cifren datos confidenciales
  • Responder a los ataques en tiempo real
  • Detener el movimiento lateral de un ciberdelincuente dentro de la red

Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.