Dentro de un equipo de ciberseguridad, el Red Team es el grupo de profesionales encargados de poner a prueba un sistema, atacarlo y tratar de romper sus defensas. Su objetivo es comprobar que es seguro y para ello actúan como si fueran hackers tratando de vulnerarlo.
Su nombre procede del ámbito militar en cuyas simulaciones de guerra el equipo rojo adopta el rol de atacante y el equipo azul, el de defensor. De este modo se pone en jaque la estrategia y estructura de seguridad que se está evaluando para conocer sus puntos débiles. Los ejercicios que se realizan reciben el nombre de exámenes de penetración y se ejecutan para detectar peligros que de otro modo son muy complicados de detectar, por ejemplo, el ejército de Estado Unidos ha utilizado este tipo de pruebas para prevenir la repetición de circunstancias que posibilitaron los atentados del 11 de septiembre de 2001.
En seguridad informática el Red Team forma parte de la protección de los sistemas de una organización. Durante los ejercicios de simulación de ataque, las personas que forman parte del Red Team, ya sean internas o externas a la empresa, tratan de saltarse las medidas de seguridad y comprometer los sistemas informáticos.
Estos ejercicios se realizan siempre sin previo aviso para dar más realismo al ataque, ya que los ataques reales suelen utilizar el factor sorpresa como uno de los elementos importantes para garantizarse el éxito. El foco en este tipo de ejercicios se pone en buscar las vulnerabilidades críticas de la organización, pues las vulnerabilidades leves no son una prioridad. Se movilizan muchos recursos con el objetivo de detectar grietas graves en los sistemas.
Existe una metodología que se suele emplear en los ejercicios en los que participa el Red Team. El principal objetivo es poner a prueba la capacidad de reacción del Blue Team para detectar accesos ilícitos, la capacidad de dar respuesta a dichos ataques y de analizarlos. Para la ejecución del ejercicio al Red Team tan solo se le proporciona el nombre de la organización.
La metodología estándar se compone de seis partes:
- Planificación. Los primeros pasos que da el Red Team están relacionados con la definición de los vectores que van a utilizar y cómo van a ser atacados.
- Reconocimiento externo. Se estudian e investigan todos los activos expuestos para detectar las vulnerabilidades de la organización para hacer una intrusión.
- Compromiso inicial. Una vez identificada una vulnerabilidad que permita el acceso a los sistemas en los que se quieren introducir, se lleva a cabo utilizando el tipo de ataque que sea necesario.
- Acceso a la red interna. Desde el primer activo que ha sido atacado, se busca la manera de acceder a la red interna. Esta parte puede ser algo rápido o extenderse a lo largo de varios días, todo depende de la compañía y de la complejidad de sus sistemas.
- Elevación de privilegios. En esta etapa se buscan vías secundarias de acceso para que en caso de que el Blue Team detecte la intrusión, se pueda continuar el ataque.
- Reconocimiento interno. Por último, cuando se tiene acceso a todos los activos de la organización, se hace un análisis para evaluar qué ataque podría ser el más dañino.
