La adopción de metodologías de Hacking Ético y Pruebas de Penetración se ha vuelto sumamente necesaria en las empresas, ya que el manejo de los datos es cada vez más un punto delicado de gestionar, tanto desde el punto de vista de la confianza de los clientes y de la imagen corporativa, como desde el punto de vista de las sanciones económicas en caso de una violación de datos.
La diferencia interesante entre una actividad de Pruebas de Penetración (Penetration Testing) y la de un Equipo Rojo (Red Team) es la siguiente: mientras que la primera es una evaluación técnica general de la seguridad con limitaciones de tiempo, la segunda es una especie de desafío diseñado para lograr un objetivo específico mediante el uso de técnicas de ataque que no se emplean típicamente durante una Prueba de Penetración, es decir, el uso de ataques físicos, Ingeniería Social y Phishing; el Equipo Rojo entonces simula adversarios del mundo real con el objetivo de verificar y mejorar la calidad de la respuesta de las defensas de seguridad de la información de la empresa.
Hacking Ético y Pruebas de Penetración
El hacking ético incluye todas las metodologías de hacking destinadas a identificar las vulnerabilidades que los ciberdelincuentes podrían aprovechar para llevar a cabo un ataque.
Se define como ético porque sólo se realiza tras recibir las autorizaciones necesarias para proceder a los controles. Además, el profesional que realiza la intrusión trabaja sobre una base ética, diferenciándose así de los hackers de sombrero negro, que suelen actuar de forma poco convencional y sin escrúpulos.
Por su parte, las Pruebas de Penetración, una de las actividades de un hacker ético, tienen como objetivo identificar las vulnerabilidades de un sistema y se realizan para mejorar la seguridad de la aplicación o red específica que se examina.
Equipo Rojo (Red Team)
El objetivo de un equipo rojo es comprobar, y en su caso mejorar, la calidad en tiempo real de las defensas de seguridad de la información de la empresa. Suelen ser responsabilidad del llamado Equipo Azul (Blue Team) de la empresa.
Los servicios que debe ofrecer un Red Team son los siguientes:
- Independencia organizativa;
- Funcionamiento continuo;
- Simulación de adversarios;
- Verificación y medición de la eficacia del ataque.
Un equipo rojo suele emplearse cuando la empresa ha alcanzado un nivel de madurez de seguridad suficiente, mediante actividades de seguridad previas como las pruebas de penetración, y por tanto tiene capacidad suficiente para detectar y responder a comportamientos maliciosos o sospechosos en sus sistemas.
Los equipos rojos se utilizan, por tanto, para verificar el nivel de seguridad de uno o varios sistemas de la forma más realista posible, y no para enumerar de forma exhaustiva, aunque limitada por el tiempo disponible, las vulnerabilidades presentes, como en el caso de una prueba de penetración.
Por esta razón, si no tienes un Equipo Azul, probablemente tampoco necesite los servicios de un Equipo Rojo en este momento.
En particular:
- El Equipo Rojo suele ser externo a la empresa y pone a prueba la eficacia de un programa de seguridad simulando las herramientas y técnicas de los probables ciberdelincuentes de la forma más realista posible. Esta práctica es similar, aunque no idéntica, a las pruebas de penetración y consiste en alcanzar uno o varios objetivos.
- El Equipo Azul, por su parte, se refiere al equipo de seguridad interno que se defiende tanto de los ciberdelincuentes reales como del Equipo Rojo. El equipo azul debe distinguirse de los equipos de seguridad estándar de la organización, ya que la mayoría de los equipos de seguridad no vigilan constantemente los ataques, que es la misión y la perspectiva de un verdadero equipo azul.
A lo mejor te preguntabas si había más colores de equipos de seguridad, y sí, los hay. Por ejemplo, puedes notar la diferencia entre Red Team vs Blue Team vs Purple Team.
Similitudes entre las Pruebas de Penetración y el Equipo Rojo
- Ambos son tipos de evaluación de la seguridad, por lo que su objetivo es igualmente verificar y mejorar la seguridad de una organización;
- Su comportamiento es similar, hasta cierto punto, al que podría llevar a cabo un ciberdelincuente;
- A veces pueden compartir TTPs (Tácticas, Técnicas y Procedimientos), pero tienen propósitos diferentes.
Principales Diferencias entre las Pruebas de Penetración y el Equipo Rojo
- Duración: las actividades de un equipo rojo pueden durar semanas, meses o incluso años. Por lo tanto, el equipo azul debe estar siempre en estado de alerta si observa un comportamiento anormal, ya que podría ser obra de un equipo rojo o de un verdadero ciberdelincuente. Las pruebas de penetración, en cambio, son una actividad corta y puntual, que suele durar unas dos semanas;
- Multidominio: mientras que las Pruebas de Penetración se dirigen generalmente a un objetivo preciso y circunscrito, un Equipo Rojo casi siempre realiza una actividad que involucra a varios sistemas para alcanzar el objetivo;
- Simulación del adversario: otro elemento que distingue una prueba de penetración de una actividad de equipo rojo es que las primeras se centran generalmente en encontrar el mayor número posible de vulnerabilidades en un objetivo específico, mientras que un equipo rojo simula un ataque real que normalmente implica alcanzar un objetivo relevante para la empresa.
Conclusiones
Por ello, el mundo de la ciberseguridad se ha vuelto cada vez más complejo, ya que han surgido nuevos profesionales con diferentes competencias (Leer Los 10 Mejores Empleos en Ciberseguridad) y, en consecuencia, nuevos departamentos, nuevas actividades a realizar con diferentes fines, así como la necesidad de conocer las herramientas más actualizadas.
Por no hablar de que, dado que la tecnología evoluciona constante y rápidamente, es necesario mantenerse al día, especialmente para estar al día con los ciberdelincuentes y los nuevos ataques que identifican.
Por lo tanto, los esfuerzos del Equipo Rojo deben dirigirse a la creación constante de nuevas herramientas y técnicas para emular a los ciberdelincuentes reales y, al mismo tiempo, los equipos de Pentest deben seguir aprendiendo las técnicas más actualizadas de Pruebas de Penetración.
