Las grandes empresas con activos valiosos son objetivos atractivos para grupos de hackers. Para entender cómo un atacante podría obtener datos importantes y cuánto tiempo y dinero necesitaría, existen métodos complejos de simulación de ataques, como el Red Team.
¿Qué es un Red Team?
Cómo actúa un hacker:
- Comienza el reconocimiento.
- Vulnera un elemento de seguridad.
- Penetra y se afianza en el sistema.
- Desarrolla el ataque, obteniendo cada vez más accesos.
De esta manera, los atacantes pueden robar dinero, destruir código fuente, cifrar datos importantes y sabotear completamente los procesos comerciales.
Los especialistas en ciberseguridad, al realizar una prueba de penetración (pentest), también vulneran sistemas, pero solo para descubrir sus debilidades antes que los atacantes y solucionarlas. Un Red Team es un equipo completo de atacantes. Permite simular todo el conjunto de acciones para un ataque objetivo complejo en tiempo real utilizando la fuerza de un equipo dedicado de pentesters.
Lectura recomendada: Pruebas de Penetración vs Equipo Rojo: Diferencias y Similitudes
Un Red Team es un servicio integral que incluye pruebas de penetración de la infraestructura y de los diferentes medios de protección, dispositivos de red (como Wi-Fi) y pruebas de ingeniería social: correos electrónicos de phishing, llamadas telefónicas, acceso físico y mucho más.
La simulación en un Red Team es muy realista y se aproxima a la realidad; nada limita a los atacantes en el logro de su objetivo.
Durante el proyecto, el Red Team actúa como un grupo de hackers que recopila información de fuentes abiertas y la dark web, encuentra cualquier vulnerabilidad, incluso las más complejas, en la seguridad, vulnera la empresa de cualquier manera y trata de no ser detectado. El objetivo puede ser obtener acceso administrativo a la infraestructura, extraer una base de datos o acceder a un sistema 1C.
El Red Team se lleva a cabo sin notificar a los servicios internos de seguridad de la información. Todo es real: la seguridad funciona al máximo.
Lo único que saben los atacantes es el nombre de la empresa.
El equipo rojo se oculta y prepara el instrumental con antelación. Para el phishing, se compra un dominio con antelación para que parezca confiable. Se adquieren herramientas como VPN y proxy para ocultar la dirección real de cada solicitud. Los escáneres se configuran para que el servicio interno de seguridad no detecte el escaneo o no sospeche que se trata de un ataque dirigido.
El Red Team está dirigido a evaluar el nivel de seguridad de la organización y el funcionamiento correcto de los medios de protección, así como la efectividad de la respuesta de los especialistas del servicio de seguridad de la empresa. Su tarea es detectar a los atacantes, investigar los incidentes y contrarrestar el ataque. No saben que se trata de un simulacro y responden a un ataque de hackers reales.
El objetivo del Red Team es mejorar los procesos de seguridad de la información.
Cuando en el ordenador de un financiero se inicia inesperadamente una línea de comandos o una herramienta que nunca antes había usado, eso es una anomalía.
El sistema de seguridad bloqueará las acciones anómalas e informará a los sistemas de monitorización; por lo tanto, es necesario actuar de forma discreta. Se aplican técnicas adicionales de ocultación y extracción de datos, se debe modificar la explotación e intentar engañar al sistema. Puede surgir una complejidad y aumentar el tiempo de ataque.
Además del equipo rojo de ataque, existen otros:
- Azul (Blue Team): El servicio interno de seguridad de la información que repele los ataques.
- Morado (Purple Team): Los árbitros, cuya tarea es asegurar y maximizar la eficacia del trabajo de los equipos rojo y azul.
Integran las tácticas defensivas de los azules y las investigaciones de amenazas de los rojos en un contexto único. Al finalizar el proyecto, se comparan todos los trabajos realizados por los equipos rojo y azul. Los azules cuentan lo que vieron, cómo respondieron a los incidentes y qué medidas tomaron. Los rojos presentan un informe sobre el desarrollo de sus ataques y ofrecen recomendaciones técnicas. Juntos, realizan un análisis posterior.
Lectura recomendada: Red Team vs Blue Team vs Purple Team
¿En qué casos se aplica un Red Team?
Un Red Team es una simulación a gran escala y secreta de un ataque de hackers altamente organizado y específico. Solo es necesario si la empresa ha superado con éxito otras comprobaciones de seguridad más sencillas.
Es como una prueba de resistencia para quienes ya lo han visto todo, saben responder rápida y eficazmente a cualquier incidente y repeler ataques.
Los hackers no están limitados por las reglas morales, utilizan cualquier método para entrar en la red interna. Es útil comprobar hasta qué punto el equipo de seguridad está preparado para un ataque sofisticado. Por lo tanto, un miembro del Red Team puede conseguir un trabajo en la empresa o introducir una memoria USB con malware. Pedir a la persona de limpieza que conecte un dispositivo a una toma de corriente. Enviar a un mensajero falso con cualquier pretexto.
Solo el soborno directo de los empleados queda fuera de la ley.
Imagina un edificio de oficinas donde los empleados utilizan sus inicios de sesión y contraseñas de los ordenadores para autenticarse en la red Wi-Fi corporativa. Para acceder a través de Wi-Fi, se necesitan credenciales. Para obtenerlas, el equipo rojo prepara varios escenarios de phishing. El envío masivo de correos se detectará rápidamente y se tomarán medidas.
Es necesario enviar correos electrónicos y esperar a que alguien introduzca los datos, y luego intentar acceder inmediatamente a la red interna. Para ello, se puede entrar en el patio y aparcar lo más cerca posible del edificio para que la señal Wi-Fi llegue desde el coche. Parte del equipo realiza el phishing desde un apartamento, mientras otra parte espera los datos desde el coche.
De esta manera, se puede acceder a la red interna en menos de 20 minutos.
A los pentesters a menudo tienen que escribir sus propias herramientas que ayudan a no descubrir a los intrusos. Por ejemplo, si estás en el ordenador de un empleado que tiene acceso al archivo necesario, debes convertir el archivo a un formato codificado y extraerlo a través de protocolos que los sistemas de seguridad no ven.
En definitiva, esta comprobación ayuda al cliente a configurar correctamente la red Wi-Fi corporativa, a ajustar el modelo de respuesta a este tipo de amenazas y a formar adicionalmente a los empleados para que reconozcan y respondan al phishing.
Otro ejemplo es la intrusión física en un banco. La seguridad de los bancos es buena en todas partes: desde los sistemas de seguridad hasta la seguridad tradicional. Se puede hacer de todo, excepto usar la fuerza física contra el personal y atraer la atención del público.
Se pueden forzar cerraduras, entrar por las ventanas, hacerse pasar por un mensajero o un cliente, entrar con un empleado con un pase mientras la puerta no se cierra (utilizar el “tailgating”). Para cruzar la valla de alambre de púas, se puede usar una alfombra común; todo esto son formas reales de acceder a la red corporativa.
Después de esto, los atacantes pueden usar su propio dispositivo, gracias al cual obtendrán los privilegios máximos en la red del banco. En nuestra práctica, esto lleva unas tres horas.
Después de esta prueba, la empresa sabrá cómo mejorar los procesos internos de monitorización de incidentes de seguridad de la información y seguridad física.
El cliente de este servicio suele ser el propietario o los altos directivos. Para evaluar la situación real, es importante que nadie sepa del proyecto Red Team, ni siquiera el director de seguridad.
A menudo, los contratos para un Red Team ni siquiera pasan por el proceso de aprobación interna de la empresa, incluso en las grandes organizaciones burocráticas, debido a la confidencialidad.
¿Cuándo no se necesita un Red Team?
Las pruebas ofrecen a los propietarios de empresas un sueño tranquilo. Es la única forma de saber con certeza lo difícil que es para un atacante obtener los activos de la organización.
Antes de los procesos de fusiones y adquisiciones, las empresas pueden llevar a cabo proyectos de Red Team para asegurarse de que la información confidencial no se vea comprometida y no arruine el acuerdo en el último momento.
Con un Red Team, la empresa ajusta sus procesos de seguridad de la información: comprende lo que no ha previsto y lo mejora.
Esto no puede completarse por completo. Para mantener un alto nivel de seguridad de la información, es necesario organizar un ciclo:
- Se realiza un Red Team.
- Se sacan conclusiones.
- Se corrige algo.
- Se encarga un nuevo Red Team.
Esto no significa que los proyectos de Red Team sean una solución mágica para la seguridad.
Al contrario, no ayudarán si los procesos de seguridad de la información no están desarrollados.
Primero, hay que asegurarse de que todo el panorama de la infraestructura de TI está cubierto por las comprobaciones y está protegido, y solo entonces pasar a la simulación de ataques. Si la empresa tiene muchos sitios web, servicios y aplicaciones, se puede empezar, por ejemplo, con un escaneo automatizado. En modo automático, el escáner analizará los servicios de la empresa y emitirá un informe sobre lo que hay que corregir.
A continuación, lo que no detecten los escáneres lo detectarán los especialistas, realizando un análisis de seguridad, identificando el máximo número de vulnerabilidades en el perímetro de TI y en los servicios, ya en modo manual.
Cuando todas las “lagunas” en el sentido amplio estén cerradas, se puede pasar a ejercicios más complejos: la simulación de un ataque real. Después de la prueba de penetración, el departamento de seguridad de la información corregirá las vulnerabilidades complejas restantes.
Así, con cada vez más, la empresa se volverá más inexpugnable. Pero esto seguirá siendo insuficiente.
Palabras Finales
Para protegerse de los atacantes con un alto nivel de preparación y motivación, no basta con pensar solo en la protección contra un ataque único o una serie de ataques. Los procesos adquieren una importancia fundamental.
Es necesario construir e implantar normas para la concesión y la revocación de accesos para cada empleado, el procedimiento de monitorización de actividades sospechosas y la respuesta a incidentes, entre otras cosas.
Por ejemplo, cada empleado debe saber exactamente qué hacer y a quién dirigirse si recibe un mensaje sospechoso, detecta archivos o programas desconocidos en su ordenador de trabajo.
Lee también:
- Red Team Toolkit: Web-App de Seguridad Ofensiva para el Red-Teaming
- SecretOpt1c: Herramienta Red Team para descubrir Información Sensible
- Forensia: Herramienta Antiforense para Red Teamers
Preguntas Frecuentes (FAQ) sobre Red Team
¿Qué es un Red Teamer?
Un Red Teamer es un experto en ciberseguridad que forma parte de un “equipo rojo” (Red Team). Su misión es simular ciberataques contra los sistemas de una organización para evaluar su seguridad informática. Pueden ser empleados de la empresa o consultores externos. Su trabajo es diferente al de un pentester (Equipo Azul), ya que las pruebas del Red Team no son anunciadas y buscan evaluar la respuesta real de la organización ante una amenaza.
¿Cuál es el papel de un Red Teamer?
El Red Teamer participa en ciberataques simulados, utilizando herramientas y técnicas de hacking éticas para identificar vulnerabilidades en los sistemas de información de una organización. Esto incluye pruebas de intrusión a nivel de aplicación, red y físico, así como pruebas de ingeniería social. Su objetivo es evaluar la eficacia de las medidas de seguridad existentes y proporcionar recomendaciones para mejorarlas.
¿Qué habilidades necesita un Red Teamer?
Un Red Teamer necesita sólidas habilidades técnicas en redes informáticas, sistemas operativos y seguridad digital. Debe ser capaz de entender y modificar código, escribir programas maliciosos (para pruebas éticas) y utilizar diversas herramientas de hacking. Además de las habilidades técnicas, se necesitan cualidades personales como la capacidad de análisis, la creatividad, la rigurosidad y la habilidad para trabajar en equipo y comunicar eficazmente los hallazgos.
¿Qué formación se necesita para ser Red Teamer?
Se recomienda un título universitario de nivel equivalente a una licenciatura (5 años de estudios post-secundaria) en un área relacionada con la ciberseguridad. Una formación especializada en ciberseguridad también es altamente beneficiosa. Además de la formación formal, es esencial estar al día con las últimas herramientas, técnicas y vulnerabilidades en el campo de la ciberseguridad mediante la formación continua y la investigación independiente.
¿Dónde trabaja un Red Teamer?
Los Red Teamers trabajan en una variedad de sectores, incluyendo consultoría y auditoría de seguridad, banca, seguros, finanzas, y empresas de alta tecnología como la automoción y la aeronáutica. Básicamente, cualquier organización que necesite proteger información sensible y sistemas críticos puede beneficiarse de los servicios de un Red Team.
¿Cuánto gana un Red Teamer?
El salario de un Red Teamer varía según la experiencia, la formación y el sector. En promedio, se puede esperar un salario bruto mensual entre 3200 y 5400 euros. La experiencia previa como pentester o en un equipo morado (Purple Team), así como el dominio de técnicas avanzadas de intrusión, puede aumentar el salario.
¿Cuáles son las perspectivas de carrera para un Red Teamer?
Un Red Teamer puede progresar en su carrera hacia puestos de consultoría en ciberseguridad o auditoría de seguridad informática, ayudando a las organizaciones a mejorar sus estrategias de gestión de riesgos y defensa contra las amenazas cibernéticas. La creciente demanda de profesionales de la ciberseguridad asegura un buen panorama laboral.
¿Qué es un Red Teaming vs. Blue Teaming?
El Red Teaming se centra en simular ataques para probar la capacidad de defensa de una organización (usualmente sin previo aviso). El Blue Teaming, por otro lado, se centra en defender los sistemas contra ataques conocidos (a menudo pruebas planeadas). A veces se combinan ambos en un Purple Teaming.
¿Cuáles son las etapas de un ejercicio de Red Teaming?
Un ejercicio de Red Teaming normalmente involucra tres etapas: 1) Definir los objetivos del ejercicio; 2) Reconocimiento del sistema objetivo; y 3) Ejecución de los ataques simulados.
¿Qué tipo de pruebas de intrusión realiza un Red Teamer?
Los Red Teamers realizan pruebas de intrusión a diferentes niveles: nivel de aplicación, nivel de red, nivel físico y pruebas de ingeniería social.
