Tres frameworks complementarios para describir y razonar sobre secuencias de ataque: Lockheed Martin Cyber Kill Chain (CKC, 2011, 7 fases lineales), Unified Kill Chain (UKC, Pols 2017, 18 fases en 3 stages), y Diamond Model of Intrusion Analysis (Caltagirone 2013, 4 vertices interconectados). Cada uno responde una pregunta analitica distinta.

CKC responde "que pasos sigue un atacante" (lineal, util para defensa-en-profundidad). UKC responde "como modelar el post-compromise" (corrige limitacion lineal de CKC, anade lateral movement / exfil). Diamond Model responde "como pivotar entre indicadores" (4 vertices: adversary, capability, infrastructure, victim — si conoces 2, puedes deducir o investigar los otros 2). Para attribution: usar Diamond + ACH. Para detection engineering: usar CKC/UKC + MITRE ATT&CK. NO son alternativas competidoras: son lentes complementarios sobre el mismo fenomeno.

En un reporte CTI moderno conviene usar los 3: CKC para mostrar que fase del ataque interrumpio una deteccion, UKC para describir el post-exploitation con detalle, Diamond para visualizar relaciones actor-capability-infra-victim. MITRE ATT&CK se mapea naturalmente al vertice "Capability" del Diamond y a las fases medias-tardias de CKC/UKC.

Los 3 frameworks asumen ataque secuencial. Mal capturan: (1) ataques fan-in/fan-out (un actor multiples campanas simultaneas), (2) cyber-physical operations cineticas (ej. Stuxnet), (3) info-ops + cyber convergence (Sandworm doctrine).