Desarrollado por Lockheed Martin en 2011, “Cyber Kill Chain” es un marco que busca explicar cómo se mueven los ciberdelincuentes a la hora de atacar con el objetivo de identificar y detener la actividad maliciosa. También llamada ciclo de vida del ciberataque, la “Cyber Kill Chain” puede ayudar a las organizaciones a entender los ciberataques y dónde están los puntos en los que pueden prevenir, detectar o interceptar a los atacantes.
La Kill Chain original incluye siete etapas de un ataque. Ahora Meta, la matriz de Facebook, ha presentado oficialmente un nuevo modelo de “Cyber Kill Chain” con diez fases que cree que será más inclusivo y efectivo y que busca abordar las necesidades de las organizaciones as la hora de hacer frente a ataques más sofisticados.
Eric Hutchins, ingeniero de seguridad e investigador de Meta, junto con su colega Ben Nimmo, han sido los autores de esta nueva cadena que tiene en cuenta los nuevos objetivos, vectores y técnicas que los ciberdelincuentes utilizan para infiltrarse y causar el caos en las organizaciones.
Cyber Kill Chain by Meta
- Adquirir activos. La primera etapa de un ciberataque consiste en obtener las credenciales y el acceso necesarios para lanzar un ataque.
- Ocultar activos. En este punto, los adversarios intentan hacer que sus activos parezcan auténticos, por lo que estos activos, ya sea una aplicación, una página web, una empresa o una cuenta, deben parecer lo más auténticos posible para atraer y engañar a sus víctimas.
- Reunir información. En esta fase los atacantes realizan un reconocimiento para conocer el entorno en el que se desarrolla la operación y recopilar información sobre los objetivos que desean asaltar. Aquí es donde se buscarán credenciales y vulnerabilidades.
- Coordinar y planificar. Después de engañar a sus víctimas, atraparlas con un activo y obtener información sobre los sistemas de la organización, los atacantes coordinan y crean un plan para lanzar su operación. Esta etapa puede durar días, semanas o meses.
- Defensas de prueba. Los ciberdelincuentes utilizarán técnicas menos obvias y de menor escala para probar las vulnerabilidades, las defensas y la respuesta de seguridad de una red a diversos eventos.
- Evadir la detección. Los atacantes de hoy no ocultan su presencia, sino que se esconden a plena vista para volar por debajo del radar sin activar los sistemas de seguridad
- Participar indiscriminadamente. Muchas campañas de ataque menos sofisticadas utilizan una técnica que consiste en lanzar diferentes operaciones a sus objetivos y ver qué funciona y qué se frustra.
- Compromisos objetivo. Esta es la fase donde el adversario enfoca sus esfuerzos en una víctima. Se han enfrentado a ellos, los han engañado, recopilado información sobre ellos, descubierto sus inseguridades y ahora están listos para lanzar su ataque.
- Compromiso de activos. Se inicia la intrusión y el objetivo está oficialmente bajo ataque.
- Habilitar la persistencia. Ahora, las operaciones encuentran a los defensores. Se llama persistencia porque los atacantes rara vez hacen las maletas y se van a casa ante la primera señal de resistencia. Por lo general, tienen suficiente conocimiento de un sistema para apuntar a un plan B.
Cada una de estas fases se analizan y explican en este enlace, en el que abundan ejemplos de la vida real. Se utilizan tres incidentes de seguridad bien documentados y comprendidos para demostrar la aplicación de la cadena a hechos reales. Se trata de la operación DCLeaks, el episodio PeaceData y el movimiento de acoso antivacunas que Meta desmanteló en 2021 (también conocido como «V_V»).
