Red Teaming es una simulación compleja de ataques reales para evaluar la ciberseguridad de los sistemas. El Red team o equipo rojo es un grupo de pentesters (profesionales que realizan una prueba de penetración del sistema). Pueden ser empleados externos o empleados de su organización, pero en todos los casos su función es la misma: imitar las acciones de los intrusos e intentar penetrar en su sistema.
Según señala David F. Longbine en su monografía ‘Red Teaming: Past and Present‘, junto con los Red team o «equipos rojos» en ciberseguridad, hay varios otros. Por ejemplo, el Blue Team o Equipo Azul trabaja en conjunto con el Red team o Equipo Rojo, pero sus actividades están dirigidas a mejorar la seguridad de la infraestructura del sistema desde adentro.
El Purple Team o Equipo Púrpura es el vínculo que ayuda a los otros dos equipos a desarrollar estrategias ofensivas y medidas defensivas. Sin embargo, el Red Teaming es uno de los métodos menos comprendidos de gestión de la ciberseguridad, y muchas organizaciones se muestran reacias a adoptar esta práctica.
Hoy explicaremos en detalle qué se esconde detrás del concepto de Red Teaming y cómo la implementación de prácticas complejas de simulación de ataques reales puede ayudar a mejorar la seguridad de su organización. El propósito es mostrar cómo este método puede aumentar significativamente la seguridad de sus sistemas de información.
Descripción general de los Red Teams o Equipos Rojos
Aunque en nuestro tiempo, los equipos «rojo» y «azul» se asocian principalmente con el campo de la tecnología de la información y la ciberseguridad, estos conceptos fueron acuñados por los militares. Según Nafría Oñate y Francisco de Borja en su trabajo ‘Plataformas de ejercicios de ciberseguridad‘, en general, fue en el ejército donde se escucharon por primera vez estos conceptos. Ser analista de ciberseguridad en la década de 1980 era muy diferente al actual: el acceso a los sistemas informáticos encriptados estaba mucho más restringido que ahora.
Los juegos de guerra (simulación e interacción) eran muy similares al complejo proceso de simulación de ataques de hoy en día, que ha llegado a la seguridad cibernética. Como ahora, se prestaba gran atención al uso de métodos de ingeniería social para convencer a los empleados de que den al «enemigo» acceso indebido a los sistemas militares.
Por lo tanto, aunque los métodos técnicos de simulación de ataques han avanzado significativamente desde los años 80, vale la pena señalar que muchas de las principales herramientas del enfoque de confrontación, y especialmente las técnicas de ingeniería social, son en gran medida independientes de la plataforma.
El valor central de la imitación compleja de ataques reales tampoco ha cambiado desde los años 80. Al simular un ataque a sus sistemas, es más fácil para usted descubrir vulnerabilidades y comprender cómo pueden explotarse.
Y aunque el Red Teaming solía ser utilizado principalmente por hackers de guante blanco y profesionales de la ciberseguridad que buscaban vulnerabilidades a través de pruebas de penetración, ahora se ha vuelto más utilizado en la ciberseguridad y los negocios.
La clave del Red Teaming es entender que realmente no puedes tener una idea de la seguridad de tus sistemas hasta que son atacados. Y en lugar de correr el riesgo de ser atacado por atacantes reales, es mucho más seguro simular dicho ataque con un read team o comando rojo.
Red Teaming: casos de uso
Una manera fácil de entender los conceptos básicos de Red Teaming es analizar algunos ejemplos. Hoy os traemos dos de ellos:
- Ejemplo 1: Imagine que un sitio de servicio al cliente ha sido probado con éxito. Parecería que esto sugiere que todo está en orden. Sin embargo, más tarde, en una simulación de ataque compleja, el equipo rojo descubre que, si bien la aplicación de servicio al cliente en sí está correcta, la función de chat de terceros no puede identificar a las personas con precisión, y esto hace posible engañar a los representantes de servicio al cliente para que cambien su dirección de correo electrónico en su cuenta (como resultado de lo cual una nueva persona, un atacante, puede obtener acceso directo).
- Ejemplo 2: Como resultado de las pruebas de penetración, se descubre que todos los controles de acceso remoto y VPN son seguros. Sin embargo, luego el representante del read team pasa libremente por el mostrador de registro y saca el pc portátil de uno de los empleados. En los dos casos anteriores, el red team verifica no solo la confiabilidad de cada sistema individual, sino también todo el sistema en su conjunto en busca de debilidades.
¿Quién necesita una simulación de ataque complejo?
En pocas palabras, casi cualquier empresa puede beneficiarse del read teaming. Una cantidad alarmantemente grande de organizaciones tienen la falsa creencia de que tienen control total sobre sus datos. Según los expertos en promedio el 22 % de las carpetas de una empresa son accesibles para todos los empleados y que el 87% de las empresas tienen muchos archivos confidenciales sin actualizar en sus sistemas.
Si su empresa no está en la industria de la tecnología, puede parecer que el Red Teaming no le hará mucha falta. Pero la seguridad es algo más que proteger la información confidencial. Los delincuentes tratan igualmente de apoderarse de las tecnologías independientemente de la esfera de actividad de la empresa.
Por ejemplo, pueden tratar de obtener acceso a su red para ocultar sus acciones para hacerse cargo de otro sistema o red en otra parte del mundo. Con este tipo de ataque, los agresores no necesitan sus datos. Quieren infectar sus computadoras con malware para convertir su sistema en un grupo de botnets con su ayuda. Para las empresas más pequeñas, puede ser difícil encontrar recursos para canjear. En este caso, tiene sentido confiar este proceso a un contratista externo.
