Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Las 7 fases de un ciberataque. ¿Las conoces?

Fecha de publicación 16/01/2020
Autor
INCIBE (INCIBE)
Las 7 fases de un ciberataque. ¿Las conoces?

Cada vez son más las empresas que apuestan por la prevención, protección y reacción ante incidentes relacionados con la ciberseguridad. Como la ciberdelincuencia actúa en beneficio propio los métodos y técnicas utilizadas van mutando y evolucionando, dando lugar a nuevas formas de ciberdelincuencia.

A pesar de que el número de organizaciones que han implementado medidas de protección ha aumentado, en ocasiones estas medidas no son capaces de detener ciberataques desconocidos, específicamente diseñados para superar las barreras preventivas conocidas. Solo las empresas que cuentan con equipos propios de respuesta a incidentes pueden permitirse aplicar los medios necesarios. 

La clave para detectar, detener, interrumpir y recuperarse ante un ciberataque radica en comprender cuál es su ciclo de vida y así desarrollar e implementar todas las operaciones necesarias que garanticen el mayor grado de seguridad y protección. A este ciclo de vida se le conoce como Cyber Kill Chain.

Este concepto, utilizado en un principio por los militares para definir los pasos que usaba el enemigo a la hora de atacar un objetivo, fue empleado por analistas de Lockheed Martin Corporation como parte de un modelo para ayudar en la toma de decisiones a la hora de responder ante ciberataques e intrusiones. En esta publicación se han identificado cuáles son los pasos que un ciberdelincuente da para alcanzar su objetivo. Conociéndolos, si se detiene el ataque en cualquiera de sus fases se rompería la secuencia del mismo y este quedaría bloqueado. A esta cadena se la conoce en el mundo de la ciberseguridad como Cyber Kill Chain

¿Qué es y cómo utilizarla para evitar ataques?

Un ataque es un proceso dirigido con una intención bien definida: conseguir unos efectos sobre un objetivo; por ejemplo, robar datos que están en un servidor web o cifrar los contenidos de una máquina para hacer que el usuario pague un rescate. Pero al tratarse de una secuencia de fases (cadena), una mitigación en cualquiera de ellas romperá la cadena, y por lo tanto, frustrará el ataque. 

Además, cada ataque deja una serie de huellas de las que se puede aprender y utilizar para comprender a los adversarios y estudiar cómo realizan sus acciones. Esto permitirá diseñar defensas cada vez más efectivas y comprobar si las que tenemos son las más adecuadas. 

La Cyber Kill Chain está formada por una secuencia de siete pasos, cada uno de los cuales supone una etapa del ataque: 

Imagen que muestra las fases que forman la conocida como cyber kill chain

Reconocimiento

Se trata de la fase en la que el ciberdelincuente recopila información sobre su objetivo. Para ello, observa los detalles que la organización publica en abierto y busca información sobre la tecnología que utiliza, así como datos en redes sociales e incluso realiza interacciones por correo electrónico. 

Con esta información, el atacante valora qué métodos de ataque podrían funcionar y con qué probabilidad de éxito. Por este motivo, para evitar que el ciberatacante disponga de estos datos, resulta fundamental que los empleados estén concienciados y desarrollar una verdadera cultura en seguridad, revisando y limitando la información que se comparte en la web y en las redes sociales o imponiendo medidas que la conviertan en inaccesible (utilizando técnicas de cifrado, desechando soportes de forma segura, poniendo límites al compartir información confidencial, etc.).

Preparación

En esta fase se prepara el ataque de forma específica sobre un objetivo. Por ejemplo, un atacante podría crear un documento PDF o de Microsoft Office e incluirlo en un correo electrónico que suplante la identidad de una persona legítima con la que la empresa interactúe normalmente. Una vez más, estar concienciados con la ciberseguridad será el mejor mecanismo para frenar el ataque en esta fase.

Distribución

En esta etapa se produce la transmisión del ataque, por ejemplo, mediante la apertura del documento infectado que había sido enviado por correo electrónico, accediendo a un phishing, etc. Ser conscientes de la existencia de este tipo de ataques y aprender a identificarlos será nuestra primera línea de defensa.

Explotación

Esta fase implica la «detonación» del ataque, comprometiendo al equipo infectado y a la red que pertenezca. Esto se suele producir explotando una vulnerabilidad conocida para la cual ya existe parche de seguridad, como en el caso de una vulnerabilidad del escritorio remoto, que de no estar parcheada permitiría entrar en los equipos desde el exterior. Por este motivo, es muy importante disponer de soluciones de seguridad y mantener todos los sistemas, incluido el antivirus, actualizados a su última versión.

Instalación

Fase en la que el atacante instala el malware en la víctima. También puede darse la circunstancia de que no se requiera instalación, como en el robo de credenciales o en el fraude del CEO. En cualquier caso, la formación y concienciación en ciberseguridad será nuestra principal arma para frenar cualquier tipo de ataque en esta fase, junto con medidas técnicas como la monitorización del estado de los sistemas, ya sea mediante infraestructura propia o a través de seguridad gestionada o subcontratando personal o servicios. 

Comando y control

Llegados a este punto el atacante cuenta con el control del sistema de la víctima, en el que podrá realizar o desde el que lanzar sus acciones maliciosas dirigidas desde un servidor central conocido como C&C (Command and Control), pudiendo sustraer credenciales, tomar capturas de pantalla, llevarse documentación confidencial, instalar otros programas, conocer cómo es la red del usuario, etc. 

Acciones sobre los objetivos

Esta es la fase final en la que el atacante se hace con los datos e intenta expandir su acción maliciosa hacia más objetivos. Esto explica por qué la kill chain no es lineal sino cíclica, ya que se volverían a ejecutar todas y cada una de sus fases de cara a infectar a más víctimas.  

Por lo tanto, para poder romper la cadena y evitar que un ataque consiga sus objetivos será necesario estar verdaderamente comprometido con la ciberseguridad. Una organización que mantenga todos sus sistemas y equipos actualizados, utilice las soluciones de seguridad adecuadas, monitorice la actividad de sus comunicaciones y sus empleados cuenten con los conocimientos necesarios en ciberseguridad, aumentará considerablemente su capacidad para detectar y responder ante este tipo de incidentes de seguridad, poniéndoselo mucho más difícil a los adversarios y evitando que los sistemas y la información que en ellos se almacena se vean comprometidos.

Mantenerse al día y formar y concienciar a tus empleados será la principal barrera frente a cualquier tipo de amenaza o ataque dirigido. ¡Protege tu empresa!