¿La Kill Chain está obsoleta?

No. Sigue siendo útil para comunicar la progresión de un ataque de forma simple (7 fases lineales). Es mejor que ATT&CK para presentaciones a dirección y para pensar en detención temprana del ataque. ATT&CK es más detallado pero más complejo.

¿Puedo usar los dos juntos?

Sí, y es lo recomendable. Kill Chain para la visión macro (en qué fase estamos, dónde detenemos el ataque). ATT&CK para el detalle (qué técnicas específicas dentro de cada fase). La Kill Chain estructura la narrativa, ATT&CK la sustancia.

PrincipianteKill ChainMITRE ATT&CKframeworkscomparativaCTI

Cyber Kill Chain vs MITRE ATT&CK: Cuándo Usar Cada Uno

Comparativa práctica entre Cyber Kill Chain de Lockheed Martin y MITRE ATT&CK: estructura, fortalezas, limitaciones, y cuándo usar cada framework. No son competidores, son complementarios.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: Cyber Threat Intelligence — Parte 4

La Kill Chain y ATT&CK no compiten: la Kill Chain es el mapa de ruta, ATT&CK es el detalle del terreno

La Cyber Kill Chain de Lockheed Martin (2011) y MITRE ATT&CK (2015) son los dos frameworks más citados en ciberseguridad. Frecuentemente se presentan como competidores, pero en realidad operan a niveles diferentes y son complementarios.

Comparativa directa

Aspecto	Cyber Kill Chain	MITRE ATT&CK
Creador	Lockheed Martin (2011)	MITRE Corporation (2015)
Estructura	7 fases lineales	14 tácticas, ~800 técnicas
Modelo	Secuencial (paso a paso)	Matricial (mapa de posibilidades)
Granularidad	Baja (7 fases genéricas)	Alta (técnicas + sub-técnicas)
Foco	Progresión del ataque	Comportamiento del adversario
Orientación	Defensiva (romper la cadena)	Descriptiva (catalogar técnicas)
Complejidad	Baja (fácil de comunicar)	Alta (requiere formación)
Audiencia	Todo nivel (CISO a analista)	Técnica (analistas, hunters)
Pre-compromiso	Sí (Recon + Weaponization)	Parcial (añadido después)
Post-compromiso	Limitado (3 fases genéricas)	Detallado (11 tácticas)

Kill Chain: las 7 fases

1. RECONNAISSANCE    → Investigar al objetivo
2. WEAPONIZATION     → Crear payload (exploit + backdoor)
3. DELIVERY          → Enviar al objetivo (phishing, exploit)
4. EXPLOITATION      → Ejecutar el exploit
5. INSTALLATION      → Instalar backdoor/persistencia
6. COMMAND & CONTROL → Establecer comunicación C2
7. ACTIONS ON OBJECTIVES → Cumplir la misión (robar, destruir)

Fortaleza: Narrativa lineal clara. Fácil de explicar a dirección. Cada fase es una oportunidad de detención ("si detenemos en fase 3, no hay explotación").

Limitación: Demasiado genérica post-compromiso. "Actions on Objectives" agrupa todo lo que ATT&CK descompone en 8 tácticas (Credential Access, Lateral Movement, Collection, Exfiltration, Impact...).

ATT&CK: las 14 tácticas

Reconnaissance → Resource Development → Initial Access → Execution
→ Persistence → Privilege Escalation → Defense Evasion
→ Credential Access → Discovery → Lateral Movement
→ Collection → Command and Control → Exfiltration → Impact

Fortaleza: Detalle granular. Cada técnica tiene detección documentada. Permite mapear alertas, medir cobertura, y priorizar inversiones.

Limitación: Complejidad alta. ~800 técnicas son difíciles de abordar sin formación. No es secuencial (el atacante puede saltar entre tácticas).

Mapping Kill Chain → ATT&CK

Kill Chain Phase	ATT&CK Tactics
1. Reconnaissance	TA0043 Reconnaissance
2. Weaponization	TA0042 Resource Development
3. Delivery	TA0001 Initial Access
4. Exploitation	TA0002 Execution
5. Installation	TA0003 Persistence + TA0004 Privilege Escalation
6. C2	TA0011 Command and Control
7. Actions on Obj.	TA0006 Credential Access + TA0007 Discovery + TA0008 Lateral Movement + TA0009 Collection + TA0010 Exfiltration + TA0040 Impact

La fase 7 de Kill Chain ("Actions on Objectives") contiene 6 tácticas completas de ATT&CK. Aquí es donde ATT&CK aporta el detalle que la Kill Chain no tiene.

Cuándo usar cada uno

Situación	Usa Kill Chain	Usa ATT&CK	Usa ambos
Presentación al board	Si	No	—
Informe de incidente	—	—	Si (KC para narrativa, ATT&CK para detalle)
Diseñar detecciones	—	Si	—
Threat hunting	—	Si	—
Training de nuevos analistas	Si (empezar)	Si (después)	Si (progresión)
Gap analysis de cobertura	—	Si	—
Comunicar urgencia a management	Si	—	—
Evaluar EDR	—	Si	—
Priorizar inversiones	—	—	Si (KC para qué fase, ATT&CK para qué técnicas)

Ejemplo combinado: incidente de ransomware

KILL CHAIN (narrativa para management):
  "El atacante completó las 7 fases: reconoció nuestra infraestructura
  (fase 1), creó un payload (fase 2), lo envió por phishing (fase 3),
  explotó una vulnerabilidad de Office (fase 4), instaló un backdoor
  (fase 5), estableció comunicación con su servidor (fase 6), y
  finalmente cifró nuestros sistemas (fase 7).
  
  Debemos mejorar detección en fases 3-5 para detener futuros ataques
  antes de que lleguen a fase 7."

ATT&CK (detalle técnico para SOC):
  Initial Access:  T1566.001 (Phishing Attachment, macro Word)
  Execution:       T1059.001 (PowerShell, descarga Cobalt Strike)
  Persistence:     T1053.005 (Scheduled Task "WindowsUpdate")
  Credential:      T1003.001 (LSASS dump via comsvcs.dll)
  Lateral:         T1021.002 (PsExec a 12 servidores)
  Exfiltration:    T1567.002 (rclone a MEGA, 200GB)
  Impact:          T1486 (LockBit 3.0) + T1490 (vssadmin delete shadows)
  
  Detecciones a implementar: Sysmon Event 10 para LSASS,
  Event 7045 para PsExec, proxy alert para MEGA uploads.

Conclusión

La Kill Chain es el GPS (te dice la ruta general). ATT&CK es el mapa topográfico (te muestra cada detalle del terreno). Usar la Kill Chain para estructurar la narrativa y comunicar con dirección. Usar ATT&CK para el trabajo técnico de detección, hunting y gap analysis. Ambos juntos en informes de incidentes: Kill Chain para el resumen ejecutivo, ATT&CK para el apéndice técnico.

Fuentes y referencias

Lockheed Martin: "Intelligence-Driven Computer Network Defense" (Hutchins, Cloppert, Amin, 2011)
MITRE: "ATT&CK Design and Philosophy" (2020)
SANS: "Kill Chain vs ATT&CK: A Comparison" (2022)