Tecnología

Qué es Cyber Kill Chain y cómo usarla para prevenir un ciberataque en la empresa

Los ciberataques pretenden robar información y utilizarla de forma fraudulenta. Te contamos cómo puedes usar la Cyber Kill Chain para reforzar la seguridad ante un ataque informático.

Por Redacción España, el 05/02/2021

auto ¿Te ha gustado nuestro artículo? ¡Vota!

Los ciberataques tienen un objetivo: robarte información y utilizarla para el lucro económico de quien hay detrás. Los ciberdelincuentes pueden, por ejemplo, utilizar tus datos de pago si eres un usuario o reclamarte un rescate por la vulneración de datos si eres una compañía. Si has sufrido un ciberataque en tu empresa, presta atención al desarrollo de la cadena Cyber Kill o Cyber Kill Chain.

Qué es Cyber Kill Chain

Cyber Kill Chain es un procedimiento desarrollado por Lockheed Martin que divide el ataque en siete niveles bien diferenciados con el objetivo de lograr identificarlo y hacerle frente. Esto sirve para ayudar a los altos cargos a tomar decisiones estratégicas para actuar ante el ataque informático.

De esta forma, tanto las grandes corporaciones como las pymes podrán diseñar defensas mucho más eficaces y luchar contra la ciberdelincuencia con gran porcentaje de acierto.

Según afirma el Instituto Nacional de Ciberseguridad, “la clave para detectar, detener, interrumpir y recuperarse ante un ciberataque radica en comprender cuál es su ciclo de vida y así desarrollar e implementar todas las operaciones necesarias que garanticen el mayor grado de seguridad y protección”.

Niveles de una cadena Cyber Kill:

  • Reconocimiento.
  • Preparación.
  • Distribución.
  • Explotación.
  • Instalación.
  • Comando y control.
  • Acción sobre el activo.

Reconocimiento

reconocimiento-ciberataque

Antes de atacar, el ciberdelincuente dedica grandes esfuerzos a estudiar los procesos internos y externos de su target, en este caso, la empresa. Esto incluye publicaciones en blogs/redes sociales, catálogos de productos, la tecnología que usa, etcétera.

En algunos casos, incluso se hace pasar por un usuario interesado e interactúa con la empresa en busca de información adicional que le pueda servir para detectar grietas en la barrera de protección.

¿Cómo puede actuar la empresa?

Para que un delincuente virtual no pueda acceder a la información que desea, la empresa debe formalizar un protocolo de actuación que incluya la concienciación de la plantilla de la existencia de ciberataques, así como disponer de un departamento TI específico y experto en seguridad. Otros aspectos a tener en cuenta:

  • Controlar los sistemas de acceso a ciertas plataformas.
  • Prestar atención a la información que se comparte en las RRSS, blogs, vlogs y otros sitios web.
  • Incluir medidas de cifrado de la información para impedir accesos no autorizados.
  • Invertir en métricas de detección de malware.

Preparación

Cuando el ciberdelincuente ya dispone de toda la información que necesita, pasa a organizar la estrategia de ataque. Con esto nos referimos a elegir el tipo de software malicioso que enviará para vulnerar los datos (spyware, adware, troyano, etc.). La elección depende del objetivo a conseguir.

¿Cómo puede actuar la empresa?

Resulta complicado predecir los pasos de un ciberataque. Por eso, al igual que en el caso anterior, la mejor fórmula para evitar el ciberataque es invirtiendo en la formación de la plantilla en términos de ciberseguridad y siguiendo una estricta cultura organizacional basada en la ciberseguridad y en valores de protección de datos.

Distribución

distribucion-ataque

La distribución se refiere al lanzamiento del virus en los equipos informáticos de la empresa. Tal y como hemos visto en el artículo de ataques informáticos más frecuentes, existen diversas formas de cargar un virus en un equipo: correo electrónico, PDF, dispositivos extraíbles, entre otros muchos.

¿Cómo puede actuar la empresa?

En primer lugar, los empleados deben conocer cuáles son los diferentes tipos de ataque, aprender a identificarlos y saber qué hacer en caso de determinar que existe un problema.

Llegados a este punto, el departamento de TI debe utilizar métricas de rastreo para investigar el tipo de ciberataque lanzado y analizar la información corporativa que se ha visto comprometida.

Explotación

Esta fase constituye la ejecución del ataque en el equipo de la empresa. Si la operación se desarrolla con éxito, el primer objetivo será infectar la red corporativa, vulnerar la información existente e instalar/cambiar patrones para poder acceder en futuras ocasiones.

¿Cómo puede actuar la empresa?

Contar con soluciones ante una brecha seguridad, tales como:

  • Efectuar técnicas de parcheo de datos.
  • Mantener constantemente actualizado el equipo y los sistemas de protección ante posibles virus.
  • Realizar de forma periódica copias de seguridad para evitar la pérdida total de los datos.

Instalación

La instalación consiste en propagar el virus por el sistema de la empresa sin que el usuario se dé cuenta.

¿Cómo puede actuar la empresa?

  • Contar con herramientas EDR Security (Endpoint Detection and Response), es decir, una serie de recursos que ayudan a combatir las ciberamenazas y dar respuesta a ataque, incluso, en fases avanzadas.
  • Monitorizando el estado de los sistemas. Algunas compañías cuentan con la infraestructura técnica para llevarlo a cabo, otras prefieren subcontratar personal o servicios extra.

Comando y control

Esta fase consiste en extender el ataque, es decir, el ciberdelincuente trabaja para que su malware opere correctamente y así conseguir sus objetivos, ya sean: obtener información confidencial, acceso a los archivos financieros, instalación de programas fraudulentos…

¿Cómo puede actuar la empresa?

Al igual que ocurre en los robos de la vida real, las ciberamenazas también pueden dejar alguna huella. Por eso, el departamento de ciberseguridad debe detectar cuál es y rastrearla hasta dar con la identidad del usuario. Para ello, es necesario un sistema de detección de intrusos en la red que detecte anomalías.

Acción sobre el activo

accion-ataque

Se trata de el último paso en la Cyber Kill Chain. Aquí, el delincuente virtual pretende hacerse con el control de la información y expandir sus malware hacia otros objetivos. Cuanto más tiempo permanezca en el interior de la red corporativa, más información se verá comprometida y el impacto en los procesos de negocio.

¿Cómo puede actuar la empresa?

  • Reconfigurar los cortafuegos.
  • Instalar un Honeypot, también conocido como programa engañoso. Se trata de un sistema de seguridad que actúa como un doble ante la infección de un posible ataque informático. De esta forma, mientras el malware ataca el programa falso, el equipo TI puede rastrear y detener el ataque.
  • Monitorizar la actividad de las comunicaciones.
  • Para el futuro, formar a los empleados con conocimientos en ciberseguridad.
TAGS:
Imagen del autor Redacción España

Equipo de redacción de B12 España: Marketing, Big Data, Inteligencia Artificial y Ventas.

Ponte en contacto con nosotros:

+34 916 629 534

madrid@agenciab12.com

Calle Alcalá, 21, 8ºD. 28014 - Madrid