¿Qué es el equipo rojo?

Hoy en día, los ciberataques se mueven más rápido que nunca. Según el IBM X-Force Threat Intelligence Index, el tiempo que lleva ejecutar ataques de ransomware se redujo en un 94% en los últimos años, de 68 días en 2019 a menos de cuatro días en 2023.

Las operaciones de los equipos rojos ofrecen a las organizaciones una forma de descubrir, comprender y realizar correcciones de forma proactiva los riesgos de seguridad antes de que los actores de las amenazas puedan explotarlos. Los equipos rojos adoptan una perspectiva adversarial, que puede ayudarles a identificar las vulnerabilidades de seguridad que los atacantes reales tienen más probabilidades de explotar.

El enfoque proactivo y contradictorio del red teaming permite a los equipos de seguridad fortalecer los sistemas de seguridad y proteger los datos confidenciales incluso frente a mayores amenazas cibernéticas.

El trabajo de red teaming es un tipo de hacking ético en el que los expertos en seguridad emulan las tácticas, técnicas y procedimientos (TTP) de atacantes reales.

Los hackers éticos tienen las mismas habilidades y emplean las mismas herramientas que los hackers maliciosos, pero su objetivo es mejorar la seguridad de la red. Los miembros del equipo rojo y otros hackers éticos siguen un estricto código de conducta. Obtienen licencia de las organizaciones antes de hackearlos, y no causan ningún daño real a una red o a sus usuarios.

En cambio, los equipos rojos emplean simulaciones de ataques para comprender cómo los hackers maliciosos pueden causar daños reales a un sistema. Durante un ejercicio de equipo de lectura, los miembros del equipo rojo se comportan como si fueran adversarios del mundo real. Aprovechan diversas metodologías de piratería, herramientas de emulación de amenazas y otras tácticas para imitar a atacantes sofisticados y amenazas persistentes avanzadas.

Estos ataques simulados ayudan a determinar qué tan bien los sistemas de gestión de riesgos de una organización (personas, procesos y tecnologías) pueden resistir y responder a diferentes tipos de ataques cibernéticos.

Los ejercicios del equipo rojo suelen tener un límite de tiempo. Una prueba puede durar desde unas pocas semanas hasta un mes o más. Cada prueba suele comenzar con la investigación del sistema objetivo, incluida la información pública, la inteligencia de código abierto y el reconocimiento activo.

A continuación, el equipo rojo lanza ataques simulados contra varios puntos de la superficie de ataque del sistema , explorando diferentes vectores de ataque. Los objetivos comunes incluyen:

• Sistemas de IA y modelos de machine learning
• Conjuntos de datos que admiten aplicaciones de AI y aprendizaje automático (ML)
• Estaciones de trabajo y dispositivos móviles
• Sistemas criptográficos
• Sistemas de detección y respuesta de endpoints (EDR)
• Detección y respuesta extendidas (XDR) sistemas
• Cortafuegos
• Sistemas de detección de intrusos (IDS)
• Orquestación, automatización y respuesta de seguridad (SOAR) sistemas
• Aplicaciones sitio web y servidores sitio web

Durante estos ataques simulados, los equipos rojos suelen enfrentar a los azules, que actúan como defensores del sistema. Los equipos rojos intentan burlar las defensas del equipo azul, anotando cómo lo hacen. El equipo rojo también registra las vulnerabilidades que encuentra y lo que puede hacer con ellas. 

Los ejercicios de red teaming terminan con una lectura final, en la que el equipo rojo se reúne con los equipos de TI y de seguridad para compartir sus conclusiones y hacer recomendaciones sobre la corrección de vulnerabilidades.

Las actividades del equipo rojo emplean las mismas herramientas y técnicas empleadas por los atacantes del mundo real para probar las medidas de seguridad de una organización.

Algunas herramientas y técnicas comunes de red teaming son:

• Ingeniería social: emplea tácticas como phishing, smishing, vishing, phishing focalizado y whale phishing para obtener información confidencial u obtener acceso a sistemas corporativos de empleados desprevenidos.
  
  
• Pruebas de seguridad física: pone a prueba los controles de seguridad física de una organización, incluidos los sistemas de vigilancia y las alarmas.
  
  
• Pruebas de penetración de aplicaciones: evalúan las aplicaciones web para identificar problemas de seguridad que surgen de errores de programación, como vulnerabilidades de inyección de código SQL.
  
  
• Detección de redes: monitorea el tráfico de red en busca de información sobre un sistema de TI, como detalles de configuración y credenciales de usuario.
  
  
• Contaminar el contenido compartido: agrega contenido a una unidad de red u otra ubicación de almacenamiento compartido que contiene malware u otro código peligroso. Cuando un usuario desprevenido lo abre, el código malicioso se ejecuta, lo que permite al atacante mover lateralmente.
  
  
• Credenciales de fuerza bruta: adivina sistemáticamente las contraseñas probando credenciales de filtraciones anteriores, probando listas de contraseñas de uso común o mediante scripts automatizados.

El red teaming puede ayudar a fortalecer la postura de seguridad de la organización y promover la resiliencia, pero también puede plantear serios desafíos a los equipos de seguridad. Dos de los mayores retos son el costo y la duración del ejercicio de equipo rojo.

En una organización típica, los compromisos del equipo rojo tienden a ocurrir periódicamente en el mejor de los casos, lo que solo proporciona insight sobre la ciberseguridad de una organización en un momento dado. El problema es que la postura de seguridad de la compañía puede ser estable en el momento de las pruebas, pero puede no seguir siendo así.

Las soluciones de red teaming automatizado continuo (CART ) permiten a las organizaciones evaluar continuamente la postura de seguridad en tiempo real. Las soluciones CART emplean la automatización para descubrir activos, priorizar vulnerabilidades y realizar ataques empleando herramientas y explotaciones desarrollados y mantenidos por expertos de la industria.

Al automatizar gran parte del proceso, CART puede hacer que el red teaming sea más accesible y liberar a los profesionales de seguridad para que se concentren en pruebas interesantes y novedosas.

Los ejercicios de red teaming ayudan a las organizaciones a obtener la perspectiva de un atacante sobre sus sistemas. Esta perspectiva permite a la organización ver qué tan bien resistirían sus defensas un ciberataque en el mundo real.

Un ataque simulado enfrenta a los controles de seguridad, las soluciones e incluso el personal contra un adversario dedicado pero no destructivo para determinar lo que funciona o no. El red teaming ofrecer a los responsables de seguridad una evaluación real del grado de seguridad de su organización.

El red teaming puede ayudar a una organización:

• Identifique y evalúe las vulnerabilidades tanto en la superficie de ataque (puntos donde se puede penetrar un sistema) como en las rutas de ataque (los pasos que se pueden seguir cuando comienza un ataque).
  
  
• Evalúe el rendimiento de las inversiones actuales en seguridad -incluidas las capacidades de detección, prevención y respuesta ante amenazas- frente a las amenazas del mundo real.
  
  
• Identifique y preparar para riesgos de seguridad previamente desconocidos o inesperados.
  
  
•  Priorizar las mejoras en los sistemas de seguridad.

Los equipos rojos, azules y morados trabajan juntos para mejorar la seguridad informática. Los equipos rojos realizan simulacros de ataque, los azules asumen un papel defensivo y los morados facilitan la colaboración entre ambos. 

El red teaming y las pruebas de penetración, también llamadas "pen testing", son métodos distintos pero superpuestos para evaluar la seguridad del sistema. 

Al igual que el red teaming, las pruebas de penetración emplean técnicas de piratería para identificar vulnerabilidades explotables en un sistema. La diferencia clave es que el equipo rojo se basa más en escenarios.

Los ejercicios de equipo rojo suelen tener lugar dentro de un marco temporal específico, y a menudo enfrentan a un equipo rojo ofensivo contra un equipo azul defensivo. El objetivo es emular el comportamiento de un adversario del mundo real.

Las pruebas de penetración son más parecidas a una evaluación de seguridad tradicional. Los probadores de penetración emplean diferentes técnicas de piratería contra un sistema o activo para ver cuáles funcionan y cuáles no.

Las pruebas de lápiz pueden ayudar a las organizaciones a identificar vulnerabilidades potencialmente explotables en un sistema. El red teaming puede ayudar a las organizaciones a comprender cómo funcionan sus sistemas, incluidas las medidas de defensa y los controles de seguridad, en el contexto de los ciberataques del mundo real.

Vale la pena señalar que las pruebas de penetración y el red teaming son solo dos de las formas en que los piratas informáticos éticos pueden ayudar a mejorar la postura de seguridad organizacional. Los hackers éticos también podrían realizar evaluaciones de vulnerabilidad, analizar malware y otros servicios de seguridad de la información.