¿Qué son los escenarios de red team? Metodología y ejemplos

Desirée Jaimovich noviembre 24, 2022
- 7 min read

Los escenarios del red team son marcos que las empresas utilizan para evaluar su nivel de seguridad desde un enfoque adverso. 

El red team busca vulnerabilidades o grietas de seguridad en el sistema simulando un ciberataque. Esto ayuda a identificar qué se debe mejorar en la organización para defenderse en la vida real en caso de una amenaza cibernética.

Pero para entender cómo hacerlo exactamente, vamos a observar más de cerca los escenarios del red team y su metodología, daremos un par de ejemplos y conoceremos los beneficios que puede aportar a tu empresa. 

¿Qué son los escenarios del red team?

El red team es una metodología utilizada para evaluar la seguridad de una organización mediante la simulación de un ataque. Los expertos utilizan diferentes herramientas y técnicas para imitar una embestida real que permitirá determinar lo vulnerable que es tu empresa en este tipo de situaciones. Se trata, en definitiva, de un indicativo sobre cuán sólida es tu cultura de ciberseguridad

Evaluará las capacidades de detección, mitigación y respuesta de tu organización. Con la información de seguridad recopilada en estos ejercicios, el red team puede realizar inteligencia, es decir, obtener datos sobre posibles amenazas y vulnerabilidades.

Así, una vez obtenida la información por parte del red team, conocerás qué debe mejorarse para que la organización esté más preparada para responder ante cualquier actor de amenaza. 

Ejemplos de escenarios del red team

Los escenarios de ataque del red team imitan a diferentes actores amenazadores, por lo que recurren a otros vectores de intrusión. Esto les permitirá pasar al objetivo, que podría ser el despliegue de ransomware o la filtración de información sensible. 

Es posible que el red team sea interno o externo a la empresa. Es decir, los simulacros de ataque pueden realizarse por los empleados dentro del departamento de IT o por terceros que ofrezcan estos ejercicios como parte de sus servicios de asesoramiento.

Ejemplos de simulacros de ataque:

  1. Un hacktivista explota una vulnerabilidad para sabotear la infraestructura de la industria y retrasar la producción.
  2. Un empleado malintencionado con privilegios despliega un malware en el sistema para arruinar varias máquinas.
  3. Un hacker utiliza la ingeniería social para engañar a un empleado, obtener credenciales para acceder a una base de datos sólida y exponer esa información. 
  4. Un ciberdelincuente explota servicios de red sin parches para acceder a información sensible sobre los clientes.

Existen otros equipos de ciberseguridad con diferentes objetivos, que forman parte de la rueda de la seguridad InfoSec, un modelo que atribuye diferentes colores a los distintos equipos en función del tipo de actividades que realizan.

Así, al igual que existe un red team, también hay un blue team que se encarga de tomar y/o sugerir proactivamente medidas de protección para defender a la empresa de posibles ataques. Mientras que el red team adopta una estrategia ofensiva, el blue team implementa una táctica defensiva. 

Asimismo, puede haber un purple team formado por miembros de los red y blue teams, que trabajan juntos, desde sus perspectivas, para mejorar la seguridad de la empresa. 

Ventajas del red team

El red team proporciona varios beneficios en términos de seguridad. Esta metodología puede ayudar en lo siguiente:

  1. Mejorar la capacidad de tu empresa para detectar y defenderse de un ataque.
  2. Conocer lasgrietas de seguridad y las vulnerabilidades para diseñar mejores prácticas de seguridad.
  3. Evaluar el grado de preparación del departamento de seguridad de IT para responder a un ataque.
  4. Concientizar a los usuarios finales de los riesgos a los que están expuestos.

Cómo funciona la metodología de los escenarios del red team

Una simulación del red team consta de varias etapas que pueden resumirse así: 

  1. Establecimiento de un objetivo: podría ser exponer información sensible de la empresa.
  2. Reconocimiento del objetivo: el equipo obtendrá información de las aplicaciones, los empleados, las redes y las instalaciones. Este último aspecto es vital, ya que el monitoreo de la seguridad física podría dar lugar a ciberataques. Por ejemplo, un atacante ingresa al edificio y accede a las PCs o servidores para robar datos confidenciales o dañar el sistema instalando malware.
  3. Explotar vulnerabilidades o grietas de seguridad: el equipo recurrirá a diferentes vectores de ataque, como la pérdida de contraseñas, utilización de credenciales débiles o phishing, para acceder al sistema y realizar su simulación de ataque.
  4. Escalada: el red team aprovechará estas ventajas y escalará para determinar si hay más vulnerabilidades para explotar. Intentará sondear la seguridad de la información, la seguridad de la nube, etc.
  5. Informe: una vez completado el ataque, el red team analizará e informará de las vulnerabilidades encontradas para que sean abordadas.

Para realizar sus ejercicios, el red team puede seguir diferentes frameworks, como Mitr Attck, que clasifica los ciberataques en función de las técnicas de los adversarios. 

Según el Mitr Attck, las tácticas se ordenan de la siguiente manera:

  1. Reconocimiento: obtención de datos sobre la organización mediante ingeniería social u otras herramientas.
  2. Desarrollo de recursos: establecimiento de una infraestructura para apoyar las actividades que se van a realizar. 
  3. Acceso inicial: el phishing podría ser un ejemplo de acceso a la red. 
  4. Ejecución: despliegue del malware.
  5. Persistencia: mantener el acceso mediante el cambio de credenciales y otros métodos.
  6. Escalada de privilegios: obtención de permisos de nivel superior.
  7. Evasión de defensas: utilización de técnicas para ocultar el código malicioso y evitar ser detectado.
  8. Acceso a credenciales: conseguir usuarios y contraseñas para acceder al sistema.
  9. Descubrimiento: obtención de información sobre el sistema y la red, como cuentas, aplicaciones, etc.
  10.  Movimiento lateral: utilizar técnicas para controlar sistemas remotos en una red.
  11. Reunión: Juntar los datos para alcanzar el objetivo.
  12. Mando y control: imitar el tráfico esperado para evitar la detección para comunicar y controlar los sistemas hackeados.
  13. Exfiltración: robo de datos.
  14. Impacto: interrumpir o comprometer la integridad mediante la manipulación de diferentes procesos. 

Otro framework bien conocido para analizar y simular un ciberataque que podría utilizarse por el red team es Cyber Kill Chain, desarrollado por Lockheed Martin. Este modelo incluye las siguientes etapas:

  • Reconocimiento: obtener información sobre la red objetivo para identificar vulnerabilidades y grietas de seguridad. Los ciberdelincuentes pueden utilizar la ingeniería social en esta etapa.
  • Armado: creación o adaptación del malware a las vulnerabilidades alcanzadas en la organización a atacar.
  • Entrega: envío del malware (arma) al objetivo a través de un USB, correo o por otros medios.
  • Explotación: aprovechamiento de una vulnerabilidad que ejecuta código en el sistema. 
  • Instalación: instalar el malware.
  • Mando y control: conseguir un acceso continuado al objetivo para controlarlo y manipularlo a distancia. 
  • Acciones sobre los objetivos: tomar medidas para lograr los objetivos, como la destrucción de datos, el cifrado o la exfiltración.

Red team vs. Pentest: las principales diferencias

El pentesting es sólo una pequeña parte de las pruebas del red team. Las pruebas de penetración explotan vulnerabilidades específicas del sistema para evaluar la resistencia de esa tecnología. Se trata de un pequeño ataque dirigido. 

Por otro lado, el red team emula una situación del mundo real para realizar un análisis de riesgos exhaustivo. Intenta introducirse lo máximo posible en el sistema y simular una amenaza persistente avanzada.

Las pruebas de penetración son sólo una parte de las tareas realizadas por el red team, que incluyen la persistencia, la evasión, la escalada y la exfiltración de datos.

Cuando se trata de red team, sólo la alta dirección sabe que se está llevando a cabo una prueba, mientras que el equipo de IT no está al tanto de esta situación. 

En tanto, las pruebas de penetración forman parte de un ejercicio realizado para evaluar un aspecto del sistema. El equipo de IT está interiorizado y forma parte de esta actividad.

Otro aspecto diferencial es la diversidad de herramientas empleadas: la evaluación del red team recurre a la ingeniería social e incluso puede intentar ingresar a las oficinas para probar la seguridad física. Ninguna de esas técnicas se emplea en una prueba de penetración.

Puntos clave

El red team evalúa las políticas y estrategias de seguridad de una empresa emulando un ciberataque real. Recurre a diferentes técnicas que puede ejecutar y analizar desde diversos marcos, como Mitre Attck o Cyber Kill Chain, pero que es posible resumir en lo siguiente: 

  1. Establecimiento de un objetivo
  2. Reconocimiento del objetivo
  3. Explotación de vulnerabilidades o grietas de seguridad
  4. Escalada
  5. Informe

Es esencial tener en cuenta que las pruebas de penetración son sólo una parte de las tareas del red team. Mientras que la primera consiste en encontrar y explotar vulnerabilidades concretas del sistema, el red team emula a un ciberatacante. Por eso recurre a todo tipo de técnicas, como la ingeniería social o incluso la irrupción física en las instalaciones de la organización. Además, una vez que consigue acceder a la red, busca realizar un ataque adversario persistente o persistent adversarial attack (APT).

Preguntas frecuentes

¿Qué es el red team?

El red team implica poner a prueba la seguridad de una empresa emulando a un actor amenazador que realiza un ciberataque. Está formado por expertos en seguridad que actúan como adversarios que buscan superar los controles de ciberseguridad.

Este enfoque analiza a fondo los sistemas y las políticas de seguridad de una organización para identificar los puntos débiles y diseñar soluciones para resolver esos problemas.

¿Cómo convertirse en un miembro del red team?

Se requiere tener un profundo conocimiento de ciberseguridad y de los principales lenguajes de programación. En general, es necesario tener cierta experiencia trabajando como parte de un blue team. La formación y los títulos profesionales también son esenciales para demostrar la competencia en este campo. 

Read other articles like this : Ciberseguridad