Red Teaming: How Red Team Testing Prepares You for Cyberattacks (Red Teaming: cómo te preparan las pruebas de equipo rojo para los ciberataques)

En lo que respecta a los ciberataques, una buena preparación es la mejor defensa. Los ciberdelincuentes harán todo lo posible para aprovechar las vulnerabilidades de cualquier empresa para acceder a ese valioso recurso que es la información confidencial. Los procesos de "red teaming" o equipo rojo son útiles para preparar a tu equipo de ciberseguridad frente a amenazas sofisticadas, ya que se simulan técnicas reales para que el equipo aprenda a identificar las vulnerabilidades del sistema y ponga en práctica métodos de respuesta.

¿Por qué tu equipo de seguridad necesita participar en pruebas de equipo rojo?

En las pruebas de equipo rojo se emplea el denominado hacking ético para identificar brechas en el sistema de seguridad de una empresa utilizando técnicas reales, como las que se usan en los ataques de ingeniería social. Los procesos de equipo rojo abarcan mucho más que una simple prueba de penetración. Consisten en enfrentar a un grupo de adversarios, el equipo rojo, con el equipo de seguridad de una empresa, el equipo azul. Lo habitual es que el equipo rojo esté formado por profesionales en seguridad con amplia experiencia que comprendan las tácticas actuales para vulnerar los entornos. Las empresas pueden utilizar la información de estas simulaciones para corregir los fallos en sus estrategias de defensa y mejorar su posición de seguridad al mismo tiempo.

Las pruebas de equipo rojo son de gran utilidad para analizar al detalle los puntos fuertes y débiles de todos los controles de seguridad. Llegarás a comprender su funcionamiento en lugar de confiar en las supuestas capacidades de tu sistema de seguridad. Estas pruebas no solo sirven para identificar aspectos de tu tecnología donde es posible que se produzcan brechas, sino también para detectar vulnerabilidades de seguridad en áreas como:

• Tecnología: los profesionales de la ciberseguridad utilizan estrategias de hackeo para identificar áreas en riesgo relacionadas con las redes, las aplicaciones, los routers y otros tipos de tecnología.
• Recursos humanos: en las pruebas de equipo rojo se pueden detectar vulnerabilidades relacionadas con los recursos humanos de tu empresa, tales como el personal, los contratistas individuales y los socios comerciales. De acuerdo con InfoSec Institute, se calcula que entre el 6 % y el 28 % de los ataques de ciberseguridad son posibles gracias a la ayuda de empleados actuales o anteriores.
• Infraestructura: las pruebas de equipo rojo también detectan vulnerabilidades relacionadas con la seguridad de la infraestructura, como el acceso a las oficinas, los datacenters y los almacenes de datos.

Dada la creciente sofisticación de las amenazas, ser víctima de un ataque de este tipo sale caro y por ello deberías recurrir a estas pruebas de equipo rojo. De acuerdo con el informe Cost of a Data Breach (Informe del coste de una filtración de datos) de IBM, las brechas de datos ocurridas en 2021 supusieron más de 4 millones de dólares a las empresas. Es la cantidad más elevada registrada desde que IBM empezó a publicar este informe anual. Las pruebas de equipo rojo contribuyen a evaluar las posibles brechas y te ayudan a adaptarte para evitar brechas de datos de tal magnitud.

¿A quién benefician las pruebas de equipo rojo?

Dado que las tácticas y la tecnología van cambiando, es importante comprobar la seguridad de los endpoints con regularidad. Tanto las pruebas de penetración como las de equipo rojo ofrecen información práctica sobre qué áreas se podrían mejorar, pero es mejor decantarse únicamente por una de estas estrategias en función de la situación individual de cada empresa.

Esta es la regla de oro: si la infraestructura de seguridad es nueva, es preferible emplear pruebas de penetración porque ofrecen una perspectiva más general de las vulnerabilidades de la empresa. Aquí se harán intentos por sortear los sistema de seguridad para acceder a distintas áreas del sistema con el objetivo de recopilar una lista completa de vulnerabilidades, lo que suele durar entre una y dos semanas.

Por otro lado, las pruebas de equipo rojo ofrecen más ventajas a las empresas que cuentan con sistemas de seguridad más consolidados, pues ofrecen un análisis detallado de un área de ataque específica. La finalidad es identificar hasta qué punto podría un ciberdelincuente aprovecharse de una vulnerabilidad determinada. Aquí los responsables de las pruebas actúan como un adversario, intentando eludir los sistemas de detección mientras tratan de explotar una vulnerabilidad determinada, lo que suele durar entre tres y cuatro semanas. Estas pruebas ofrecen, además, la oportunidad de que el equipo azul practique tácticas de defensa.

Inconvenientes de las pruebas de equipo rojo

Las pruebas de equipo rojo tienen dos principales desventajas: cobertura y coste. Si bien el objetivo principal del equipo es acceder a información confidencial, estas pruebas de equipo rojo no son exhaustivas y no deberías lanzarte a practicarlas si todavía no has realizado ninguna prueba de penetración, que además suelen ser más costosas que estas. Puedes optar por no realizar pruebas de equipo rojo si crees que puedes aprovechar mejor tu presupuesto de seguridad de esta forma para corregir vulnerabilidades conocidas.

Preparativos para las pruebas de equipo rojo

Tu empresa debe estar preparada para sacar el máximo partido a las pruebas de equipo rojo. En primer lugar, debe comprender el sistema de seguridad y tiene que haber abordado las vulnerabilidades existentes. Después, sería conveniente identificar un área concreta que necesite un análisis de este tipo. Por ejemplo, se puede dar el caso de que tengas información confidencial en un servidor concreto. Trasládales esta preocupación al equipo rojo para que se centren en recopilar información y elaborar un plan para atacar esta área durante las pruebas.

Consideraciones para crear un equipo rojo eficaz

El equipo rojo debe estar formado por miembros que guarden parecido con tus adversarios. Es decir, deben mostrar cualidades técnicas, creatividad y experiencia, que se puede resumir de la siguiente manera:

• Habilidades de desarrollo de software y capacidad para diseñar herramientas personalizadas que eludan los sistemas de seguridad
• Experiencia en pruebas de penetración y conocimientos sobre cómo funciona un sistema de seguridad para evitar ser detectados
• Habilidades de ingeniería social y conocimientos sobre cómo persuadir a las personas para compartir información confidencial

Una vez seleccionados, lo siguiente es planificar la manera de proceder de los miembros de tu equipo. Todas las fases que se indican a continuación son necesarias para que una prueba de equipo rojo funcione, lo que ayuda al equipo a trabajar en colaboración de forma sistemática para poner a prueba el sistema de seguridad:

• Fase de recopilación de información: se trata de la primera fase, en la que los miembros del equipo rojo emplean el reconocimiento activo para obtener información sobre la empresa, como quiénes son los empleados o cuáles las instalaciones y los controles de seguridad.
• Fase de planificación y ejecución del ataque: el siguiente paso es colaborar para trazar posibles vías de ataque. El equipo intenta aprovechar las vulnerabilidades encontradas para obtener acceso al sistema.
• Fase de elaboración de informes y corrección: por último, el equipo rojo debe realizar su evaluación. Aquí el equipo informa acerca de los pasos que se seguirían para reproducir el ataque y comparte consejos para corregir ese riesgo.

Existen muchas herramientas conocidas para que los equipos rojos progresen adecuadamente a lo largo de todas estas fases. Por ejemplo, hay herramientas de código abierto que ayudan a los equipos a buscar vulnerabilidades, realizar labores de reconocimiento al recopilar información de fuentes de datos públicas y lanzar ataques, como la creación de páginas de phishing. Todos los miembros del equipo rojo deben estar familiarizados con este tipo de herramientas para usarlas en las pruebas y emplear los mismos métodos que utilizarían los ciberdelincuentes.

Tácticas habituales de los equipos rojos

Las pruebas de equipo rojo se basan en simular un ciberataque de varias vertientes en el que se emplean diversas tácticas para intentar acceder a tu sistema, como las siguientes:

• Las pruebas de penetración en aplicaciones web identifican los puntos débiles del diseño y la configuración de tus aplicaciones web. Para ello, se emplea una técnica maliciosa, como la falsificación de solicitudes en varios sitios para conseguir un punto de acceso.
• Las pruebas de penetración en la red identifican los puntos débiles de tu red o sistema. Para ello, se buscan los puntos de acceso, como puertos que estén abiertos en tu red inalámbrica.
• Las pruebas de penetración física identifican los puntos débiles de tus controles de seguridad físicos. Para ello, se intenta conseguir acceso a zonas restringidas de tu empresa. Por ejemplo, un miembro del equipo rojo intenta seguir a empleados con tarjetas de identificación para acceder a zonas restringidas de tu oficina.
• Las tácticas de ingeniería social tienen como propósito persuadir y manipular a las personas. Se emplean tácticas como el phishing o el soborno para conseguir información confidencial, como credenciales, de personas que conocen tu sistema.

La forma de proceder del equipo rojo normalmente se caracteriza por el empleo de diversas tácticas al mismo tiempo para poner a prueba la integridad de tu sistema de seguridad. Se trata de un enfoque poliédrico de tácticas del que seguro aprenderás muchísimo sobre los puntos débiles y fuertes de tu empresa. Podrás identificar las vulnerabilidades de la configuración de tu tecnología, así como conocer sobre qué es necesario ofrecer más formación a tu personal. Si por ejemplo una gran cantidad de tus empleados han hecho clic en un enlace de correo electrónico de phishing, deberías plantearte la posibilidad de que hagan un curso sobre solicitudes de correo maliciosas.

Sería conveniente que empezaras a simular ejercicios de este tipo para ayudar a tu equipo de ciberseguridad a defenderse frente a posibles ataques. Esta simulación de ataques enseñará a tu equipo de defensa las tácticas más comunes y las mejores herramientas. Por ejemplo, los ciberdelincuentes han estado usando servicios ocultos para evadir los sistemas de detección, y ahora las empresas pueden emplear esas mismas herramientas para defenderse. Es importante conocer las tácticas más recientes a fin de prepararte para los ataques y aprovechar adecuadamente todas las herramientas.

Cómo empezar a realizar ejercicios de simulación

Las pruebas de equipo rojo son un método avanzado y efectivo de evaluar la integridad del sistema de seguridad de una empresa. Si se utilizan junto con otras medidas de seguridad, como la seguridad de endpoints y el Threat Hunting, podrás tener la tranquilidad de que tu empresa está protegida frente a posibles ataques.

El equipo de CrowdStrike Services ofrece ejercicios de emulación del adversario para ayudarte a preparar tu estrategia de defensa ante situaciones de ataque. CrowdStrike Services tiene en marcha una campaña diseñada específicamente para que tu empresa pueda simular cómo ocurriría un ataque y su repercusión sin sufrir las consecuencias de una brecha real. De esta forma, podrás realizar los cambios preventivos necesarios para garantizar que tu sistema esté consolidado y preparado para posibles incidentes. Solicita más información sobre los servicios que ofrece CrowdStrike Services a las empresas a través de nuestro formulario de contacto para clientes.