Tema 5

Ciclo de vida de un ciberataque y cadena de intrusión

Los ataques no suelen ocurrir en un solo paso. Normalmente avanzan por etapas: reconocimiento, acceso inicial, ejecución, persistencia, movimiento lateral y acción final. Entender esa secuencia permite detectar y contener antes del daño mayor.

Objetivo Entender cómo progresa un ataque
Enfoque Etapas, señales y controles
Resultado Detectar antes del impacto final
Clave Cada fase ofrece oportunidades de defensa

5.1 Introducción

Una visión simplista del ataque imagina que el atacante encuentra una vulnerabilidad y produce el daño inmediatamente. En la realidad, muchas intrusiones siguen un recorrido más amplio. El adversario observa, prepara, entra, se afianza, expande su control y finalmente ejecuta su objetivo.

Estudiar ese recorrido es esencial porque permite interrumpir la operación antes de la fase más dañina. La defensa no depende solo de impedir el acceso inicial; también puede apoyarse en detección temprana, monitoreo del comportamiento y capacidad de respuesta durante el avance del atacante.

5.2 Qué es el ciclo de vida de un ciberataque

El ciclo de vida de un ciberataque es la secuencia de etapas por la que suele pasar una operación ofensiva desde su preparación hasta la obtención del objetivo final. No todos los ataques incluyen exactamente los mismos pasos, pero muchos comparten una estructura general.

Esta visión es útil porque cambia la pregunta de “¿cómo evitar todo ataque?” a “¿en qué punto puedo prevenir, detectar, contener o dificultar el avance?”.

5.3 Qué es la cadena de intrusión

La cadena de intrusión, también conocida en muchos contextos como kill chain, es un modelo que organiza el ataque en fases encadenadas. La idea central es que una intrusión rara vez es instantánea: necesita una progresión lógica de acciones.

Si una organización identifica y bloquea al atacante en una fase temprana, evita que el resto de la cadena llegue a completarse. Por eso cada etapa es una oportunidad defensiva.

5.4 Etapas generales de una intrusión

Etapa Qué busca el atacante Ejemplo
Reconocimiento Recolectar información del objetivo Buscar dominios, empleados, servicios expuestos
Preparación Armar infraestructura, señuelos o herramientas Crear sitio falso de login o malware
Acceso inicial Entrar al entorno Phishing, credenciales robadas, explotación remota
Ejecución Correr código o acciones dentro del sistema Lanzar scripts, comandos o payloads
Persistencia Mantener acceso en el tiempo Crear cuentas, tareas programadas o puertas traseras
Escalada y movimiento lateral Obtener más privilegios y avanzar Capturar credenciales y comprometer otros sistemas
Acción sobre objetivos Concretar el objetivo final Robar datos, cifrar servidores o sabotear servicios

5.5 Fase de reconocimiento

En esta etapa el atacante busca entender a la víctima. Quiere saber qué infraestructura utiliza, qué servicios expone, qué empleados podrían ser blancos útiles, qué tecnología se emplea y qué señales públicas revelan oportunidades de ataque.

  • Búsqueda de dominios, subdominios y direcciones IP.
  • Recolección de correos de empleados y cargos sensibles.
  • Identificación de tecnologías web, software y proveedores.
  • Consulta de filtraciones previas o credenciales expuestas.
  • Observación de redes sociales, noticias o documentación pública.

Mucho reconocimiento ocurre con fuentes abiertas, sin interacción directa con el objetivo. Por eso la higiene informativa también forma parte de la seguridad.

5.6 Preparación y armamento

Con la información recolectada, el atacante prepara su operación. Esto puede incluir montar infraestructura, adaptar un exploit, crear documentos maliciosos, registrar dominios similares al legítimo o configurar servidores de mando y control.

En ataques más simples esta etapa es corta y estandarizada. En ataques dirigidos puede ser muy específica: correos redactados para una organización concreta, malware personalizado o páginas falsas idénticas a las reales.

5.7 Acceso inicial

El acceso inicial es el punto en que el atacante logra entrar al entorno objetivo por primera vez. No siempre significa dominio total del sistema; muchas veces es apenas una posición inicial desde la cual intentará avanzar.

  • Phishing o spear phishing.
  • Uso de credenciales robadas o reutilizadas.
  • Explotación de servicios expuestos.
  • Abuso de accesos remotos inseguros.
  • Compromiso a través de terceros o cadena de suministro.
Una organización puede fallar en prevenir el acceso inicial y aun así defenderse con éxito si detecta rápido la intrusión y evita la progresión hacia etapas posteriores.

5.8 Ejecución

Una vez dentro, el atacante necesita ejecutar acciones útiles: scripts, comandos, binarios, macros, payloads o herramientas legítimas utilizadas con fines maliciosos. Esta fase transforma el acceso en capacidad operativa dentro del entorno.

Es común que los atacantes abusen de herramientas ya presentes en los sistemas para reducir visibilidad. Esta técnica permite mezclarse con actividad aparentemente normal y evita depender siempre de malware tradicional.

5.9 Persistencia

La persistencia busca asegurar que el acceso no se pierda fácilmente. Si el sistema se reinicia, si cambian credenciales o si un vector inicial deja de funcionar, el atacante quiere conservar alguna vía de retorno.

  • Creación de cuentas ocultas o de servicio.
  • Tareas programadas o scripts automáticos.
  • Backdoors y modificaciones de configuración.
  • Implantes en endpoints o servidores.
  • Uso de tokens o sesiones válidas prolongadas.

La persistencia vuelve más compleja la remediación, porque el problema ya no es solo “cómo entró”, sino también “cómo asegurarse de que no sigue adentro”.

5.10 Escalada de privilegios

Con frecuencia, el acceso inicial no es suficiente para alcanzar el objetivo real. El atacante necesita permisos mayores para consultar datos sensibles, controlar sistemas críticos o desactivar defensas. La escalada de privilegios consiste en pasar de un nivel limitado a uno más poderoso.

  • Explotación de fallas locales.
  • Abuso de permisos mal configurados.
  • Robo de hashes, tokens o credenciales privilegiadas.
  • Suplantación de cuentas administrativas.

5.11 Movimiento lateral

Una vez que el atacante obtiene una posición útil, intenta expandirse a otros sistemas. Esta etapa es clave en intrusiones corporativas, porque el daño más grave rara vez se produce en el primer equipo comprometido.

El movimiento lateral permite alcanzar servidores, controladores de dominio, sistemas de respaldo, bases de datos o equipos de administración. También puede servir para descubrir nuevos activos, relaciones de confianza y oportunidades adicionales.

5.12 Descubrimiento y enumeración interna

Durante la intrusión, el atacante suele realizar descubrimiento interno: listar usuarios, grupos, equipos, shares, rutas de red, procesos, servicios, permisos y software instalado. Esta información orienta las decisiones siguientes.

En otras palabras, el reconocimiento no termina antes del acceso inicial. Continúa dentro de la red con mayor detalle y valor táctico.

5.13 Evasión y ocultamiento

Para permanecer más tiempo sin ser detectado, el atacante intenta ocultar su actividad. Esto puede incluir borrar rastros, desactivar herramientas de seguridad, modificar logs, mezclar tráfico malicioso con tráfico normal o ejecutar acciones fuera de horario.

La evasión es especialmente importante en campañas de espionaje o intrusiones persistentes, donde el valor del ataque depende de pasar desapercibido durante semanas o meses.

5.14 Acción sobre los objetivos

Es la fase final desde la perspectiva ofensiva. Aquí el atacante intenta concretar el propósito real de la intrusión. Ese objetivo puede variar según el actor y la motivación:

  • Exfiltrar información sensible.
  • Cifrar sistemas y exigir rescate.
  • Manipular datos o procesos.
  • Interrumpir servicios.
  • Usar el entorno comprometido como plataforma para otros ataques.
  • Mantener acceso silencioso para espionaje prolongado.

5.15 El ciclo no siempre es lineal

Aunque estos modelos se presentan como secuencias ordenadas, los ataques reales pueden volver atrás, repetir fases o saltar algunas etapas. Un atacante puede perder acceso y reintentarlo, moverse lateralmente varias veces o cambiar de objetivo una vez dentro.

Por eso la cadena de intrusión no debe entenderse como una receta rígida, sino como un marco para analizar progresión ofensiva.

5.16 Ejemplo: campaña de ransomware

  1. Reconocimiento de la organización y detección de servicios remotos expuestos.
  2. Acceso inicial por credenciales filtradas o phishing.
  3. Ejecución de herramientas para reconocimiento interno.
  4. Escalada de privilegios y robo de credenciales administrativas.
  5. Movimiento lateral hacia servidores críticos y sistemas de backup.
  6. Exfiltración de datos.
  7. Cifrado masivo y nota de rescate.

Este ejemplo muestra por qué el ransomware no debe entenderse solo como “el momento del cifrado”. El verdadero ataque comenzó mucho antes.

5.17 Ejemplo: intrusión por spear phishing

  • El atacante investiga cargos y relaciones internas.
  • Envía un correo altamente creíble a un objetivo específico.
  • Obtiene credenciales o ejecución de malware.
  • Accede al correo y busca hilos, archivos y contactos valiosos.
  • Escala el compromiso usando confianza interna.
  • Extrae información o redirige procesos de negocio para fraude.

En este tipo de escenarios, la etapa inicial es humana, pero el avance posterior puede volverse totalmente técnico.

5.18 Cómo defenderse por fases

Fase del ataque Controles útiles
Reconocimiento Reducción de exposición pública, gestión de activos, monitoreo externo
Acceso inicial MFA, protección de correo, hardening, parches, filtrado
Ejecución EDR, listas de aplicaciones permitidas, control de macros y scripts
Persistencia Monitoreo de cambios, auditoría de cuentas, detección de anomalías
Escalada y movimiento lateral Segmentación, mínimo privilegio, protección de credenciales, detección interna
Acción sobre objetivos DLP, backups aislados, respuesta a incidentes, contención rápida

5.19 Indicadores de avance del atacante

Muchas señales de seguridad tienen valor porque muestran en qué fase podría estar una intrusión:

  • Escaneos y accesos inusuales a servicios expuestos.
  • Intentos de autenticación fallidos o desde ubicaciones atípicas.
  • Ejecución de herramientas administrativas fuera de contexto.
  • Creación inesperada de cuentas o cambios de permisos.
  • Conexiones laterales entre sistemas que normalmente no interactúan.
  • Transferencias masivas o compresión anormal de archivos.

5.20 Errores comunes al analizar ataques

  • Fijarse solo en el punto de entrada y no en la progresión completa.
  • Creer que la intrusión termina cuando se elimina el malware visible.
  • No investigar persistencia ni movimiento lateral.
  • Subestimar señales tempranas porque aún no hubo impacto final.
  • No relacionar eventos dispersos como partes de la misma cadena.

5.21 Qué debe quedar claro

  • Un ciberataque suele desarrollarse por etapas y no en un único evento.
  • La cadena de intrusión ayuda a entender cómo progresa la amenaza.
  • El acceso inicial no es el final del problema, sino el comienzo.
  • Persistencia, escalada y movimiento lateral suelen preceder al daño principal.
  • Cada fase ofrece oportunidades específicas de prevención, detección y respuesta.

5.22 Conclusión

Analizar los ataques como procesos encadenados permite defender mejor. La seguridad gana profundidad cuando deja de mirar solo vulnerabilidades aisladas y empieza a observar cómo un adversario transforma una oportunidad inicial en una operación completa.

En el próximo tema se estudiará el malware en sus distintas variantes: virus, gusanos, troyanos, spyware, rootkits y botnets, para entender una de las herramientas más utilizadas dentro de estas cadenas de intrusión.

Volver al índice