Skip to main content

Cómo reforzar la seguridad de su empresa con pruebas de Red Team

Conozca cómo reforzar la seguridad cibernética de su organización con pruebas Red Team ¡Énterese!
Developing programmer Team Development Website design and coding technologies working in software company office

Las pruebas técnicas de seguridad son críticas para validar que los controles implementados en la infraestructura tecnológica de una organización, estén ajustadas a las buenas prácticas en ciberseguridad. Además, permiten a las organizaciones tener certeza de que un atacante no encontrará puertas abiertas que podría explotar fácilmente. 

Entre las pruebas técnicas más comunes y relevantes que una organización puede llevar a cabo se encuentran:  

  • Escaneos de vulnerabilidades 
  • Escaneos de políticas de seguridad (hardening) 
  • Pruebas de ingeniería social 
  • Evaluaciones de compromiso 
  • Pruebas de penetración (también conocidas como pentest o ethical hacking) 
  • Revisión de código fuente 
  • Pruebas de Red Team 

En ese sentido, es importante conocer los conceptos y pertinencia de este tipo de pruebas para las organizaciones. 

Tipos de pruebas de seguridad 

En muchas organizaciones, existen algunas confusiones o errores de concepto entre estos dos tipos de pruebas: Pruebas de penetración y Pruebas de Red Team.  

Esta confusión puede llevar a las empresas, a contratar servicios con alcances o enfoques inadecuados. Esto impide que se obtenga un mayor provecho de estas pruebas o que incluso se genere una falsa sensación de seguridad. 

  • Pruebas de penetración: 

Son pruebas en las que un equipo de profesionales con conocimientos y herramientas adecuados, realizan una serie de actividades para identificar vulnerabilidades a nivel de la infraestructura tecnológica, aplicaciones e incluso dispositivos especializados (como cajeros electrónicos o ATM).  

Dependiendo del enfoque y el alcance definido para las pruebas, después de identificar las vulnerabilidades, el equipo de ethical hackers puede explotarlas y demostrar lo que un atacante real podría llevar a cabo en el entorno tecnológico de la organización. Esto se refiere directamente a ganar accesos no autorizados, tomar control de aplicaciones, robar credenciales, interceptar comunicaciones, entre muchos otros.  

Estas pruebas suelen ser coordinadas, de manera que la organización esté al tanto en todo momento del tipo de pruebas, así como su alcance y los horarios en los que los ethical hackers las están llevando a cabo. 

  • Pruebas de Red Team: 

En este tipo de pruebas, un equipo de ethical hackers conocido como “Red Team”, buscará realizar un amplio espectro de pruebas, con un menor grado de conocimiento y coordinación con la empresa, buscando simular un caso más parecido a la realidad.  

En este tipo de pruebas, el alcance puede ser definido por los escenarios que la empresa busca probar o simplemente a partir del nombre de la empresa. Para ello, se destina un periodo de tiempo en el que el equipo estará dedicado a hacer las pruebas, sin informar a la organización.  

Como parte de estas pruebas, el equipo puede incluir actividades como búsqueda de información en Internet (correos electrónicos, teléfonos, tecnología utilizada, datos de empleados, información de la infraestructura tecnológica y aplicaciones, servicios expuestos, etc.), reconocimiento, identificación de vulnerabilidades, explotación de vulnerabilidades y generación de persistencia en la red.  

Para llevar a cabo este tipo de pruebas, se utilizan técnicas que implican ataques a nivel lógico o físico sobre la infraestructura tecnológica de la organización: instalaciones físicas o incluso con técnicas de ingeniería social, sobre sus empleados o terceros. 

3 ejes de acción Red Team

Este tipo de pruebas normalmente se realizan de manera inopinada para los equipos de Tecnología, Seguridad de la Información y Ciberseguridad. Además, se realizan con la autorización del CISO, CIO o CEO de la organización. Este tipo de actividades pueden ser consideradas como un ataque, por lo tanto, suelen requerir autorizaciones expresas para proteger al Red Team.  

El objetivo de estas pruebas es validar el nivel de seguridad de la organización desde un punto de vista tecnológico, físico y de cultura de ciberseguridad, además de las capacidades para detectar y responder oportunamente ante un ciberataque. 

Las pruebas de Red Team no buscan reemplazar las pruebas de “Ethical hacking”, sino que buscan complementarlas, llevando a un escenario más realista a la organización. 

A continuación, estas son las fases que suelen incluirse en estas pruebas: 

  1. Reconocimiento: Identificación de objetivos, búsqueda de información técnica, enumeración de datos y detección de potenciales vulnerabilidades en los activos de la empresa. 
  2. Intrusión inicial: Ejecución de técnicas e intentos de explotación para obtener acceso al interior de la organización. En el caso de los accesos físicos, buscarán aprovechar la vulneración de los perímetros físicos, para abrir puertas a nivel lógico, por ejemplo, a través del uso de dispositivos especializados o robo de credenciales encontradas en las instalaciones. 
  3. Persistencia: Ejecución de técnicas para mantener la conexión a la red, interna o externa, sin tener que volver a ejecutar las fases anteriores. 
  4. Comando y Control: Ejecución de técnicas de escalamiento de privilegios y movimiento lateral para ampliar el compromiso de la red y llegar incluso a los segmentos donde se encuentran los sistemas más protegidos (redes industriales, redes de cajeros, etc.) 
  5. Cumplimiento de objetivos: Búsqueda del cumplimiento de los objetivos planteados en los escenarios establecidos para el servicio. 

Beneficios de las pruebas de Red Team 

Llevar a cabo estas pruebas, son sin duda una gran oportunidad para detectar vulnerabilidades y minimizar su impacto, en caso de sufrir un ataque.  Estos son algunos de los beneficios de las pruebas de Red Team. 

Utilidad de las pruebas de Red Team

En conclusión, las pruebas de Red Team son críticas para validar de una manera más realista el nivel de seguridad de la organización. Es importante determinar el riesgo de la seguridad física, lógica y de cultura de ciberseguridad. Además, le permitirá a la empresa conocer su capacidad de reacción para detectar y responder ante un ciberataque.  

Por este motivo, es muy importante que las pruebas sean realizadas por personal altamente calificado, con las herramientas y recursos adecuados. 

Gestionamos el riesgo cibernético 

En Marsh, le ayudamos a abordar el riesgo cibernético y tomar las medidas adecuadas para su organización. Nuestro equipo puede ayudarle a reforzar el programa de pruebas técnicas de seguridad de su organización. No dude en contactar con uno de nuestros consultores especializados en riesgos cibernéticos

Autores

Placeholder Image

Edson Villar

Líder Regional de Consultoría en Riesgo Cibernético, Marsh Advisory LAC