¿Qué es la cadena de ataque cibernético? Pasos, ejemplos y cómo interrumpirla

Mayo 21, 2026
Kaseya
Detección de amenazas, Amenazas

Todo ciberataque sigue un recorrido. El atacante tiene que entrar, afianzarse, moverse por el entorno y, finalmente, alcanzar su objetivo. Ese recorrido no es aleatorio. Sigue una secuencia reconocible de etapas, y la cadena de ataque cibernético ofrece a los equipos de seguridad un marco para comprender exactamente cómo es esa secuencia y en qué puntos se puede interrumpir.

Para los MSP y los equipos de TI que se encargan de proteger entornos complejos y distribuidos, la cadena de ataque es más que un modelo teórico. Se trata de un enfoque práctico que permite comparar los controles de seguridad con la evolución real de los ataques e identificar dónde las lagunas en la cobertura dejan a las organizaciones expuestas. Herramientas como Datto EDR, Kaseya SIEM y Kaseya MDR están diseñadas para detener a los atacantes en múltiples etapas de esa cadena, antes de que el daño alcance las fases de las que es más difícil recuperarse.

¿Qué es la cadena de ataque cibernético?

La cadena de ataque cibernético es un marco que describe las etapas de un ciberataque, desde el reconocimiento inicial hasta que el atacante logra su objetivo final. Fue desarrollada por Lockheed Martin en 2011, a partir del concepto militar de «cadena de ataque», que divide un enfrentamiento con el enemigo en pasos identificables, cada uno de los cuales puede ser objeto de ataque y ser neutralizado.

En el ámbito de la ciberseguridad, el modelo cumple la misma función. Al comprender la secuencia que debe seguir un atacante, los equipos de seguridad pueden identificar puntos de control en cada fase en los que el ataque puede detectarse, ralentizarse o detenerse por completo. Un atacante al que se le bloquea en la fase dos nunca llega a la fase cinco. Un atacante al que se le detecta en la fase cuatro puede contenerse antes de que llegue a la fase siete.

El marco se diseñó inicialmente pensando en las amenazas persistentes avanzadas (APT): ataques sofisticados y prolongados llevados a cabo por adversarios que cuentan con amplios recursos y planifican minuciosamente sus acciones antes de actuar. Sigue siendo especialmente aplicable a ese tipo de amenazas, aunque su lógica se aplica de manera general a la forma en que los equipos de seguridad conciben las defensas por capas frente a cualquier ataque estructurado.

Los 7 pasos de la cadena de ataque cibernético

El modelo original de Lockheed Martin define siete pasos secuenciales. Cada paso representa un punto en el que los defensores pueden intervenir.

Paso 1: Reconocimiento

Antes de lanzar un ataque, el atacante recopila información sobre el objetivo. Esto incluye identificar datos de dominio público sobre la infraestructura de la organización, las direcciones de correo electrónico de los empleados, las ofertas de empleo que revelan la tecnología utilizada, los perfiles en redes sociales y cualquier sistema expuesto al exterior que pueda servir como punto de entrada.

El reconocimiento puede ser pasivo, utilizando inteligencia de fuentes abiertas (OSINT) sin intervenir directamente en los sistemas del objetivo, o activo, lo que implica buscar puertos abiertos, identificar versiones de software y detectar vulnerabilidades. Cuanta más información recopile un atacante en esta fase, más preciso y convincente será el ataque posterior.

Enfoque defensivo: supervisión de la actividad de escaneo externo, limitación de la información técnica disponible públicamente y control de los sistemas destinados a los empleados que están expuestos a Internet.

Paso 2: Conversión en arma

El atacante utiliza la información obtenida durante la fase de reconocimiento para crear o armar su carga útil de ataque. Esto suele implicar la creación de archivos maliciosos diseñados para aprovechar una vulnerabilidad específica identificada en el entorno del objetivo. Un documento de phishing que contiene una macro que distribuye un troyano de acceso remoto, un PDF malicioso que aprovecha una vulnerabilidad del lector o un dropper que instala ransomware al ejecutarse son ejemplos de «weaponization».

Los defensores rara vez tienen visibilidad directa de esta fase, ya que se desarrolla íntegramente en una infraestructura controlada por el atacante. El objetivo aquí es reducir la superficie de ataque que ha quedado al descubierto tras el reconocimiento: la aplicación rápida de parches a las vulnerabilidades conocidas elimina las armas que el atacante tenía previsto utilizar.

Paso 3: Entrega

El atacante envía la carga maliciosa al objetivo. El correo electrónico es el mecanismo de distribución más habitual, a través de campañas de phishing que contienen archivos adjuntos o enlaces maliciosos. Otros métodos de distribución son los sitios web comprometidos que realizan descargas automáticas, las memorias USB maliciosas, las actualizaciones de software de terceros comprometidas (ataques a la cadena de suministro) y la explotación de servicios conectados a Internet.

Enfoque defensivo: el filtrado de correo electrónico, el filtrado web, la protección DNS y la formación en concienciación sobre seguridad para los usuarios se aplican en la fase de entrega. Bloquear la entrega antes de que la carga útil llegue al dispositivo es la medida defensiva más eficaz que existe, ya que impide que se produzcan todas las fases posteriores.

Paso 4: Aprovechamiento

Una vez que la carga útil llega a su destino, se ejecuta y aprovecha una vulnerabilidad para obtener acceso inicial. Puede tratarse de una vulnerabilidad de software en una aplicación sin parches, un exploit de navegador que se activa al visitar una página maliciosa o una macro que se ejecuta en un documento de Office después de que el usuario haga clic en «Habilitar contenido».

Es aquí donde el atacante pasa de estar fuera del entorno a estar dentro de él. La explotación es la fase que las herramientas de detección en los puntos finales están diseñadas específicamente para detectar: el análisis de comportamiento identifica la actividad anómala de los procesos que sigue a una explotación exitosa, incluso cuando la vulnerabilidad en sí no se conocía de antemano.

Paso 5: Instalación

Una vez establecido el acceso inicial, el atacante instala malware persistente o una puerta trasera para mantener su presencia incluso si se cierra el punto de entrada original. Entre los mecanismos de persistencia más comunes se encuentran la creación de claves de ejecución en el Registro, la instalación de tareas programadas, la adición de entradas de inicio o la implementación de un troyano de acceso remoto que se comunica con la infraestructura de comando y control controlada por el atacante.

El objetivo es sobrevivir a un reinicio, un cambio de contraseña o una actualización que corrija la vulnerabilidad original. Sin una instalación persistente, el atacante pierde el acceso en el momento en que finaliza la sesión. Las herramientas EDR con telemetría continua de los puntos finales son capaces, precisamente, de detectar las modificaciones del registro, las nuevas tareas programadas y la creación de procesos inusuales que caracterizan esta fase.

Paso 6: Mando y control (C2)

El malware instalado establece un canal de comunicación con la infraestructura controlada por el atacante. A través de este canal, el atacante puede enviar comandos, recibir datos, implementar herramientas adicionales y dirigir las siguientes fases del ataque de forma remota. El tráfico C2 suele camuflarse como tráfico web legítimo, enrutarse a través de servicios en la nube populares o cifrarse para evitar ser detectado.

Esta fase supone una oportunidad crucial para la detección. La comunicación C2 debe atravesar los límites de la red, lo que significa que las herramientas de supervisión de la red y el filtrado de DNS pueden detectarla. Un terminal que haya sido comprometido, pero cuyo canal C2 esté bloqueado, no puede seguir recibiendo instrucciones. Aislarlo en este punto permite contener el incidente antes de que comience el movimiento lateral.

Paso 7: Acciones relacionadas con los objetivos

En la fase final, el atacante lleva a cabo su objetivo. En el caso de los atacantes con motivaciones económicas, esto suele implicar el despliegue de ransomware y el cifrado de datos, la sustracción de datos con fines de extorsión o venta, o el fraude financiero. Los actores estatales pueden dedicarse al espionaje, a la destrucción de sistemas críticos o a obtener un acceso persistente a largo plazo para su uso futuro.

Esta es la fase más perjudicial y costosa de resolver. Los ataques que llegan a afectar a los objetivos requieren una respuesta integral ante incidentes: investigación forense, reconstrucción del sistema, posible notificación a las autoridades reguladoras y gestión de la reputación. El objetivo principal de todo lo que precede a esta fase en una estrategia defensiva es garantizar que el atacante nunca llegue a este punto.

Ejemplo de la cadena de ataque cibernético: un ataque de ransomware

Recorrer los siete pasos a través de un tipo de amenaza real ilustra cómo funciona el modelo en la práctica:

  1. Reconocimiento: El atacante identifica una empresa manufacturera de tamaño medio a través de una oferta de empleo en la que se menciona una versión concreta de un software ERP que presenta una vulnerabilidad conocida. Además, recopila de LinkedIn los nombres de los empleados y los formatos de sus direcciones de correo electrónico.
  2. Explotación: Aprovechando los datos de los empleados, elaboran un correo electrónico de phishing en el que se hacen pasar por un proveedor, adjuntando un documento que aprovecha la vulnerabilidad del ERP y que, al ejecutarse, instala un troyano de acceso remoto.
  3. Entrega: El correo electrónico de phishing se envía a un empleado del departamento de cuentas por pagar. Supera los filtros de correo electrónico porque el dominio del remitente es una réplica muy convincente y el archivo adjunto no aparece marcado como un hash malicioso conocido.
  4. Aprovechamiento: El empleado abre el archivo adjunto. La macro del documento se ejecuta, aprovechando la vulnerabilidad y ejecutando un comando de PowerShell que descarga el troyano desde un servidor controlado por el atacante.
  5. Instalación: El troyano se instala a sí mismo como una tarea programada, configurada para persistir tras los reinicios. Comienza a enviar señales a la infraestructura C2 cada pocos minutos a través de HTTPS.
  6. Mando y control: El atacante confirma el acceso, instala herramientas para extraer credenciales y pasa varios días desplazándose lateralmente por el entorno, mapeando recursos compartidos y sistemas de copia de seguridad antes de actuar.
  7. Acciones relacionadas con los objetivos: El atacante distribuye el ransomware por toda la red simultáneamente desde varios dispositivos finales comprometidos. El cifrado de archivos comienza en decenas de sistemas antes de que se active ninguna alerta.

Si se hubiera interrumpido esta cadena en el paso tres (el filtrado de correo electrónico que detecta el envío del mensaje de phishing), en el paso cuatro (el EDR que detecta la ejecución de PowerShell) o en el paso seis (el filtrado de DNS que bloquea la señal C2), se habría evitado el resultado final. Cuanto más avanza el atacante en la cadena antes de ser detectado, más costosa y compleja resulta la respuesta.

La cadena de ataque cibernético frente a MITRE ATT&CK: ¿en qué se diferencian?

Ambos marcos describen el comportamiento de los atacantes, pero operan con distintos niveles de detalle y tienen fines diferentes.

La cadena de ataque cibernético es un modelo secuencial de alto nivel. Describe las fases generales de un ataque en orden, lo que la hace útil para la planificación estratégica, para comprender la progresión de los ataques y para comunicarse con las partes interesadas sin conocimientos técnicos. Sus siete pasos proporcionan a los equipos de seguridad un vocabulario común para analizar en qué punto del ciclo de vida de un ataque se detectó una amenaza o dónde fallaron las defensas.

MITRE ATT&CK es una base de datos detallada y en constante actualización sobre las tácticas, técnicas y procedimientos (TTP) de los atacantes. En lugar de siete fases secuenciales, recoge cientos de técnicas específicas organizadas por táctica, extraídas de ataques reales observados. No se trata de un proceso secuencial: un atacante puede utilizar técnicas de varias tácticas de MITRE simultáneamente o en un orden diferente, dependiendo de lo que se encuentre.

Ambos marcos se complementan entre sí. La cadena de ataque ofrece una visión estructural de la evolución de un ataque. MITRE ATT&CK proporciona los detalles técnicos sobre cómo se ejecuta exactamente cada fase de dicha evolución. Los equipos de operaciones de seguridad suelen utilizar la cadena de ataque para la comunicación de incidentes y la planificación estratégica de la defensa, mientras que recurren a MITRE ATT&CK para la ingeniería de detección, la asignación de alertas y la evaluación de la cobertura de las herramientas.

Datto EDR asocia sus detecciones al marco MITRE ATT&CK, lo que significa que las alertas se envían junto con el contexto de la táctica y la técnica que se está utilizando. De este modo, se vinculan los detalles técnicos de MITRE con la fase de la cadena de ataque a la que corresponden, lo que permite a los analistas conocer tanto la técnica específica que se está observando como su ubicación dentro de la secuencia de ataque en su conjunto.

Limitaciones de la cadena de ataque cibernético

El modelo de la cadena de ataque tiene una utilidad real, pero también presenta limitaciones importantes que los equipos de seguridad deben comprender.

Se parte de la hipótesis de un ataque lineal
. El modelo original describe una progresión secuencial desde la fase uno hasta la fase siete. En la práctica, los ataques suelen saltarse fases, ejecutar varias fases simultáneamente o volver a fases anteriores. Un atacante que ya disponga de acceso a credenciales obtenidas en una brecha de seguridad anterior podría saltarse por completo las fases de reconocimiento y entrega.

Se centra en las amenazas perimetrales
. El modelo se diseñó en una época en la que las redes eran locales y tenían límites bien definidos. Las amenazas internas, los ataques nativos de la nube, el acceso no autorizado de terceros y los ataques a la cadena de suministro no encajan claramente en la estructura tradicional de la cadena de ataque.

No tiene en cuenta la rapidez de los ataques modernos
. El Informe global de respuesta a incidentes de Unit 42 de 2026 reveló que los ataques más rápidos llegan a exfiltrar datos en tan solo 72 minutos desde el acceso inicial. El modelo de la cadena de ataque da a entender que los defensores tienen tiempo para detectar y responder en cada etapa. Sin embargo, frente a ataques automatizados de rápida evolución, ese margen de tiempo suele ser más reducido de lo que sugiere el modelo.

Esto puede crear una falsa sensación de exhaustividad
. Una organización que haya implementado controles en las siete etapas de la cadena de ataque puede seguir presentando importantes lagunas si dichos controles no abordan las técnicas específicas que utilizan los atacantes en cada etapa. MITRE ATT&CK es una herramienta más adecuada para evaluar la cobertura a nivel de técnicas.

¿Cómo puede la cadena de ataque cibernético mejorar la seguridad?

A pesar de sus limitaciones, la cadena de eliminación sigue siendo un marco práctico para la planificación estructurada de la defensa. A continuación se explica cómo aplicarla:

  • Asigna tus controles a cada fase: para cada una de las siete fases, identifica qué herramientas y procesos tienes implantados para detectar o prevenir la actividad de los atacantes. Las deficiencias que surjan al realizar este ejercicio revelarán dónde es necesario invertir.
  • Dar prioridad a la interrupción en las primeras fases: cuanto antes se detenga un ataque en la cadena de ataque, menor será el daño que cause y más sencilla será la corrección. Las medidas de control en la fase de entrega (filtrado de correo electrónico, protección DNS) y en la fase de explotación (aplicación de parches, detección de comportamiento mediante EDR) ofrecen el mayor rendimiento, ya que evitan todas las fases posteriores.
  • Aplica el enfoque de la cadena de ataque en el análisis de incidentes: tras cualquier incidente de seguridad, repasa los pasos de la cadena de ataque e identifica en qué punto se detectó al atacante, hasta dónde llegó antes de que se contuviera el ataque y qué controles, de haberlos habido, habrían detectado el ataque antes. Esto da lugar a mejoras concretas y aplicables, en lugar de conclusiones genéricas del tipo «reforzar la seguridad».
  • No confíes únicamente en la cadena de ataque: complétala con MITRE ATT&CK para evaluar la cobertura de la detección a nivel de técnicas y con inteligencia sobre amenazas que refleje las TTP específicas de los adversarios que atacan tu sector.

Cómo Kaseya interrumpe la cadena de ataque

La plataforma de seguridad de Kaseya está diseñada para ofrecer a los proveedores de servicios gestionados (MSP) y a los equipos de TI reducidos la capacidad de detectar e interrumpir ataques en múltiples etapas de la cadena de ataque de forma simultánea, sin necesidad de contar con un gran equipo de seguridad interno para que funcione.

Datto EDR opera en las fases de explotación, instalación y mando y control. La supervisión del comportamiento detecta ejecuciones anómalas de procesos, mecanismos de persistencia y señales C2, con más de 65 acciones de respuesta automatizadas para aislar, eliminar y poner en cuarentena antes de que comience el movimiento lateral. Las detecciones se correlacionan con el marco MITRE ATT&CK, lo que proporciona a los analistas un contexto inmediato sobre qué técnica se está utilizando y en qué punto de la secuencia de ataque se encuentra.

Kaseya SIEM ofrece una visibilidad global que abarca toda la cadena de ataque, correlacionando datos de más de 60 fuentes de información procedentes de terminales, la red, la gestión de identidades y la nube. Los eventos que, considerados de forma aislada, parecen no estar relacionados —como un intento fallido de inicio de sesión, la ejecución de un proceso inusual o tráfico saliente anómalo— se convierten en un patrón interconectado de la cadena de ataque en un único incidente correlacionado. La retención de registros durante 400 días permite la reconstrucción forense necesaria para determinar el tiempo de permanencia y el alcance total del ataque.

Kaseya MDR incorpora un equipo de analistas que convierte la detección en una defensa activa. Unos analistas de seguridad con sede en EE. UU. supervisan su entorno las 24 horas del día, investigan las amenazas confirmadas y aplican medidas de contención antes de que los ataques alcancen fases más avanzadas, sin que usted tenga que mantener un centro de operaciones de seguridad (SOC) operativo las 24 horas del día, los 7 días de la semana para que esto funcione.

En conjunto, estas capacidades abarcan toda la cadena de ataque, desde los dispositivos finales hasta la nube, lo que proporciona a los proveedores de servicios gestionados (MSP) y a los equipos de TI la visibilidad y la capacidad de respuesta necesarias para detener los ataques mucho antes de que estos alcancen sus objetivos.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicita una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso con condiciones flexibles, riesgo compartido y asistencia especializada para tu empresa.

Descubre Partner First Pledge»

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - Informe sobre la situación de los MSP en 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén información sobre el MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Explora las categorías

¿Qué es la detección y respuesta ante amenazas (TDR)?

Descubre cómo funciona la detección y respuesta ante amenazas (TDR), por qué es importante, en qué herramientas se basa y cómo los proveedores de servicios gestionados (MSP) y los equipos de TI pueden desarrollar programas de TDR eficaces.

Leer la entrada del blog

¿Qué es XDR? Una guía sobre la detección y respuesta ampliadas

Descubre los fundamentos de XDR, incluyendo cómo funciona, sus principales ventajas, cómo se compara con tecnologías similares y cómo conseguir hoy mismo una cobertura de nivel XDR.

Leer la entrada del blog

Indicadores de compromiso (IOC): tipos, ejemplos, detección y respuesta

Descubre qué son los indicadores de compromiso (IOC), cuáles son los principales tipos, algunos ejemplos habituales y cómo los equipos de seguridad los utilizan para detectar amenazas y responder a ellas.

Leer la entrada del blog