Red Team 2.0

Red Team 2.0

Celia Catalán



Muchos habréis oído hablar de este concepto que lleva años emplazado en el sector de la ciberseguridad, pero seguramente no todos sabéis de qué se trata o en qué consiste realmente un red team y sobre todo, qué diferencia hay con una auditoría de hacking ético también conocida como pentesting o prueba de penetración.

No os preocupéis, en este articulo os vamos a detallar en qué consiste un red team, qué ventajas ofrece, por qué todas las empresas deberían contar con este servicio y qué propuesta disruptiva propone Zerolynx con su nuevo concepto de Red Team 2.0 (Red Team Persistente).

Pero antes empecemos explicando que es un red team tradicional. Un red team es un ejercicio de ciberseguridad que tiene como objetivo retar a una organización mediante la realización de ataques para evaluar sus debilidades y mejorar su resiliencia. En este ejercicio intervienen dos equipos:

  • Red team: equipo atacante encargado de ejecutar y poner en práctica las técnicas de ataques reales empleadas por actores maliciosos. Tendrán que poner mucho esfuerzo en no ser detectados al igual que en no afectar a la operatividad de la organización en el transcurso de las pruebas.
  • Blue team: equipo defensor encargado de detectar y responder a los ataques llevados a cabo por el red team. Carece de información sobre quién, cuándo, y cómo se realizarán los ataques planificados por el red team, de esta forma se pretende emular un ataque lo más realista posible.

Existen dos equipos más no tan protagonistas, pero que también colaboran y participan en el ejercicio:

  • White Team: coordinador del ejercicio por parte de la organización. Es quien normalmente solicita el servicio de red team en la compañía y, por tanto, actúa de interlocutor con este. Vela por que todo el ejercicio se lleve a cabo tal y como estaba previsto y se logre el objetivo perseguido. 
  • Purple team: se conforma una vez concluidas las acciones del red team. Habitualmente lo conforman miembros del red team y del blue team, quienes analizan lo ocurrido y elaboran planes de mejora.

Llegados a este punto, ¿Qué diferencias existen entre una auditoría de hacking (Pentesting) y un ejercicio de red team?

La principal diferencia es el alcance y el enfoque de ambos ejercicios. 

  • Por un lado, el Red team es mucho más amplio, y está centrado en llevar a cabo una simulación de ataque completa de toda la organización, sin ningún tipo de información preconcebida, y actuando de la forma más realista posible, como lo haría un atacante, cuidando en todo momento no ser detectado, al tiempo que el equipo de blue team tiene que lograr ser capaz de detectar toda y cada una de las acciones llevadas a cabo por el equipo atacante, así como saber responder a cada una de ellas.
  • Por otro lado, el Pentesting tiene un alcance más acotado y específico, el cual se centra en la identificación y explotación de vulnerabilidades de uno o varios activos concretos, partiendo en muchos casos de cierta información privilegiada proporcionada por la organización. El objetivo principal en este caso no es evaluar la capacidad de detección y respuesta de la organización, si no identificar fallos de seguridad, vulnerabilidades técnicas, configuraciones inseguras, etc. en los activos propuestos.

Ambos enfoques son valiosos y se pueden adaptar según los objetivos y las necesidades específicas de seguridad de la organización. A continuación, os dejamos un resumen con las características de cada uno:



Hemos conocido cuales son las ventajas de un red team, pero… ¿Es todo tan sencillo como parece? ¿Existe alguna limitación a la hora de llevar a cabo este tipo de ejercicios?

Limitaciones del red team tradicional

  • Temporalidad: mientras que los ciberdelincuentes tienen recursos y tiempo (casi) infinitos, un ejercicio de Red Team tiene fecha de inicio y de fin. Las vulnerabilidades aprovechadas son las identificadas durante el transcurso del ejercicio. 
  • Capacidad: no se verifica la capacidad de la organización para mitigar vulnerabilidades recientes, mientras que tras un ejercicio de pentesting sí que es habitual realizar un retest.
  • Novedad: por norma general, no se evalúan 0day, y tampoco se verifican aspectos relativos a ciberinteligencia en términos de vulnerabilidades, ni técnicas de ataque descubiertas recientemente.
  • Infraestructura: la infraestructura requerida para el ejercicio de Red Team(que despliega el equipo atacante), se elimina cuando finaliza el ejercicio, y supone un esfuerzo de implementación que reduce las ventanas de ataque, por lo que el estudio del dimensionamiento del ejercicio es algo clave.

Red Team 2.0 (persistente)

Son muchas las ventajas que ofrece un ejercicio de red team con respecto un pentesting tradicional, pero no podemos perder de vista todas y cada una de las limitaciones que comentábamos anteriormente, que restan potencial y menguan las capacidades de estos ejercicios.

Zerolynx ha querido ir más allá, y romper con estas limitaciones presentando un red team que podríamos llamar de nueva generación (NG - NextGeneration), que responde a su constante esfuerzo por innovar y llevar al mercado servicios disruptivos que se adapten a los cambios de la industria. 

¿De qué se trata?  

Hablamos de un servicio de RedTeam “persistente”, con un enfoque de simulación de amenazas más prolongado, mediante evaluaciones de seguridad llevadas a cabo de forma regular y continua en el tiempo. 
Esto permitiría al equipo atacante adaptar y ajustar sus tácticas, técnicas y procedimientos (TTP) para emular amenazas más recientes y realistas, así como explotar vulnerabilidades recientemente  publicadas (zero days), lo que ayudaría además a medir la resiliencia general de la organización ante estas nuevas técnicas de ataque (reduciendo significativamente el time-to-market de prueba de vulnerabilidades y técnicas de ataque).

Al ser un servicio continuo y a medio/largo plazo en el tiempo no requiere desmontar la infraestructura una vez finalizado el ejercicio, sino que se mantiene y evoluciona, aprovechando el tiempo.

Gracias a su persistencia, el equipo atacante dispone de más tiempo para conocer en profundidad la infraestructura del cliente tal y como lo haría un insider tras permanecer meses/años estudiando a su víctima.

El equipo de purple team (conformado por miembros de red y blue team) se consolida en el tiempo, lo que permite trabajar más estréchame y alcanzar una relación de confianza de la cual el equipo de blue team puede nutrirse para mejorar sus capacidades de detección y respuesta a largo plazo.

Alejandro Auñón, Offensive Security Analyst at Zerolynx.
Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.