¿Qué es el equipo rojo?

Hoy en día, los ciberataques avanzan más rápido que nunca. Según el IBM X-Force Threat Intelligence Index, el tiempo que se tarda en ejecutar ataques de ransomware se ha reducido en un 94 % en los últimos años, de 68 días en 2019 a menos de cuatro días en 2023.

Las operaciones de los equipos rojos ofrecen a las organizaciones una forma de descubrir, comprender y realizar correcciones de forma proactiva los riesgos de seguridad antes de que los actores de las amenazas puedan explotarlos. Los equipos rojos adoptan una perspectiva adversarial, que puede ayudarles a identificar las vulnerabilidades de seguridad que los atacantes reales tienen más probabilidades de explotar.

El enfoque proactivo y de confrontación del «red teaming» permite a los equipos de seguridad reforzar los sistemas de seguridad y proteger los datos confidenciales, incluso ante el aumento de las ciberamenazas.

El trabajo de red teaming es un tipo de hacking ético en el que los expertos en seguridad emulan las tácticas, técnicas y procedimientos (TTP) de atacantes reales.

Los hackers éticos tienen las mismas habilidades y utilizan las mismas herramientas que los hackers maliciosos, pero su objetivo es mejorar la seguridad de la red. Los miembros del equipo rojo y otros hackers éticos siguen un estricto código de conducta. Obtienen permiso de las organizaciones antes de piratearlas y no causan ningún daño real a una red ni a sus usuarios.

En su lugar, los equipos rojos utilizan simulaciones de ataques para comprender cómo los hackers malintencionados pueden causar daños reales a un sistema. Durante un ejercicio de red teaming, los miembros del equipo rojo se comportan como si fueran adversarios del mundo real. Aprovechan diversas metodologías de piratería, herramientas de emulación de amenazas y otras tácticas para imitar a atacantes sofisticados y amenazas persistentes avanzadas.

Estos ataques simulados ayudan a determinar hasta qué punto los sistemas de gestión de riesgos de una organización, personas, procesos y tecnologías, pueden resistir y responder a distintos tipos de ciberataques.

Los ejercicios del equipo rojo suelen tener una duración determinada. Una prueba puede durar desde unas pocas semanas hasta un mes o más. Cada prueba normalmente comienza con una investigación del sistema objetivo, incluida la información pública, la inteligencia de código abierto y el reconocimiento activo.

A continuación, el equipo rojo lanza ataques simulados contra varios puntos de la superficie de ataque del sistema, explorando diferentes vectores de ataque. Los objetivos comunes incluyen:

• Sistemas de IA y modelos de machine learning
• Conjuntos de datos compatibles con aplicaciones de IA y ML
• Estaciones de trabajo y dispositivos móviles
• Sistemas criptográficos
• Sistemas de detección y respuesta de endpoints (EDR)
• Sistemas de detección y respuesta extendidos (XDR)
• Cortafuegos
• Sistemas de detección de intrusos (IDS)
• Sistemas de orquestación, automatización y respuesta de seguridad (SOAR)
• Aplicaciones y servidores web

Durante estos ataques simulados, los equipos rojos suelen enfrentarse a equipos azules, que actúan como defensores del sistema. Los equipos rojos intentan sortear las defensas del equipo azul, observando cómo lo hacen. El equipo rojo también registra las vulnerabilidades que encuentra y lo que puede hacer con ellas. 

Los ejercicios de los equipos rojos terminan con una lectura final, en la que el equipo rojo se reúne con los equipos de TI y de seguridad para compartir sus conclusiones y hacer recomendaciones sobre la corrección de vulnerabilidades.

Las actividades del equipo rojo emplean las mismas herramientas y técnicas que utilizan los atacantes del mundo real para sondear las medidas de seguridad de una organización.

Algunas herramientas y técnicas comunes de red teaming son:

• Ingeniería social: utiliza tácticas como el phishing, el smishing, el vishing, el spear phishing y el whale phishing para obtener información confidencial u obtener acceso a los sistemas corporativos de empleados desprevenidos.
  
  
• Pruebas de seguridad física: pruebas de los controles de seguridad física de una organización, incluidos los sistemas de vigilancia y las alarmas.
  
  
• Pruebas de penetración de aplicaciones: prueba las aplicaciones web para encontrar problemas de seguridad que surgen de errores de codificación, como vulnerabilidades de inyección de código SQL.
  
  
• Espionaje de redes: monitoriza el tráfico de la red para obtener información sobre un sistema de TI, como los detalles de configuración y las credenciales de los usuarios.
  
  
• Contaminar el contenido compartido: agrega contenido a una unidad de red u otra ubicación de almacenamiento compartido que contenga malware u otro código peligroso. Cuando lo abre un usuario desprevenido, el código malicioso se ejecuta, lo que permite que el atacante se mueva lateralmente.
  
  
• Fuerza bruta de credenciales: adivina sistemáticamente las contraseñas probando credenciales de violaciones anteriores, probando listas de contraseñas de uso común o utilizando scripts automatizados.

El red teaming puede ayudar a fortalecer la posición de seguridad de la organización y promover la resiliencia, pero también puede plantear serios desafíos a los equipos de seguridad. Dos de los mayores retos son el coste y la duración del ejercicio de equipo rojo.

En una organización típica, las interacciones del equipo rojo suelen ocurrir de forma periódica como máximo, lo que solo ofrece una visión de la ciberseguridad de una organización en un momento determinado. El problema es que la posición de seguridad del negocio puede ser sólida en el momento de la prueba, pero puede que después no siga siéndolo.

Las soluciones de equipo rojo automatizado continuo (CART) permiten a las organizaciones evaluar continuamente la posición de seguridad en tiempo real. Las soluciones CART utilizan la automatización para descubrir activos, priorizar vulnerabilidades y realizar ataques utilizando herramientas y exploits desarrollados y mantenidos por expertos de sectores.

Al automatizar gran parte del proceso, CART puede hacer que los equipos rojos sean más accesibles y liberar a los profesionales de la seguridad para que se centren en pruebas interesantes y novedosas.

Los ejercicios de red teaming ayudan a las organizaciones a obtener la perspectiva de un atacante sobre sus sistemas. Esta perspectiva permite a la organización ver qué tan bien resistirían sus defensas un ciberataque en el mundo real.

Un ataque simulado enfrenta controles de seguridad, soluciones e incluso personal contra un adversario dedicado pero no destructivo para determinar qué funciona y qué no. El red teaming puede proporcionar a los responsables de seguridad una evaluación real del grado de seguridad de su organización.

El red teaming puede ayudar a una organización a:

• Identificar y evaluar las vulnerabilidades tanto en la superficie de ataque (puntos por los que se puede penetrar un sistema) como en las rutas de ataque (los pasos que se pueden seguir cuando comienza un ataque).
  
  
• Evaluar el rendimiento de las inversiones actuales en seguridad (incluidas las capacidades de detección, prevención y respuesta de amenazas) frente a las amenazas del mundo real.
  
  
• Identificar y prepararse para riesgos de seguridad previamente desconocidos o inesperados.
  
  
•  Priorizar las mejoras en los sistemas de seguridad.

Los equipos rojos, azules y morados trabajan juntos para mejorar la seguridad de TI. Los equipos rojos realizan ataques simulados, los equipos azules asumen un papel defensivo y los equipos morados facilitan la colaboración entre los dos. 

El red teaming y las pruebas de penetración, son métodos distintos pero superpuestos para evaluar la seguridad de los sistemas. 

Al igual que los equipos rojos, las pruebas de penetración utilizan técnicas de piratería para identificar vulnerabilidades explotables en un sistema. La diferencia clave es que el equipo rojo se basa más en escenarios.

Los ejercicios del equipo rojo suelen ocurrir dentro de un período de tiempo específico y a menudo enfrentan a un equipo rojo ofensivo contra un equipo azul defensivo. El objetivo es emular el comportamiento de un adversario del mundo real.

Las pruebas de penetración son más parecidas a una evaluación de seguridad tradicional. Los pentesters utilizan diferentes técnicas de hacking contra un sistema o activo para ver cuáles funcionan y cuáles no.

Las pruebas de penetración pueden ayudar a las organizaciones a identificar vulnerabilidades potencialmente explotables en un sistema. Los equipos rojos pueden ayudar a las organizaciones a comprender cómo funcionan sus sistemas, incluidas las medidas de defensa y los controles de seguridad, en el contexto de ciberataques reales.

Vale la pena señalar que las pruebas de penetración y los equipos rojos son solo dos de las formas en que los hackers éticos pueden ayudar a mejorar la posición de seguridad de la organización. Los hackers éticos también podrían realizar evaluaciones de vulnerabilidades, análisis de malware y otros servicios de seguridad de la información.