Pasar al contenido principal

Servicio de Red Team

¿Qué es?

El negocio del cibercrimen se ha profesionalizado en los últimos años. En la actualidad, se estima que representa unos beneficios mayores que el tráfico de drogas y de armas. Debemos ser conscientes de que están altamente capacitados, tienen fuentes de financiación sólidas y trabajan de manera conjunta para conseguir sus objetivos.

Los incidentes de ciberseguridad no han hecho más que aumentar en los últimos años y se prevé que continúe siendo así. Somos una sociedad cada vez más digitalizada y nuestra superficie de exposición es cada vez mayor, hecho que dificulta su protección. Testear el nivel de resiliencia de los sistemas es una buena práctica que debe realizarse de manera periódica.

Un servicio o equipo de Red Team consiste en atacar los sistemas de una organización para conocer sus puntos débiles. Este ataque, sin embargo, pese a ser real se realiza de manera controlada, pues ha sido acordado previamente y mediante contrato entre el cliente y la empresa de ciberseguridad que lo lleva a cabo. Antes de comenzar, ambas partes acuerdan los límites de esta simulación y se firma un acuerdo de confidencialidad.

Para llevar a cabo este ejercicio, los expertos de diversas disciplinas que conforman el equipo de Red Team se ponen en la mente de un atacante real para actuar de la misma forma, para lo cual es esencial que la organización desconozca cuándo y cómo lo harán. Así, se averigua cuál es la capacidad de reacción del cliente (equipo de defensa) en el caso de que se tratase de un verdadero ataque.

Tras realizar estas intrusiones se informa al cliente de las vías a través de las cuales podría actuar un atacante y las consecuencias que tendría para el negocio u organismo, con el objetivo final de implementar las medidas más adecuadas y solucionar las brechas de seguridad.

Es importante tener presente que existen diferencias entre un ejercicio de Red Team, un pentesting y un análisis de vulnerabilidades:

Servicio de Red Team 1

Beneficios

  • Evaluación continua de la seguridad frente a diferentes tipos de ciberataques.
  • Identificación de vulnerabilidades antes de que puedan ser aprovechadas por atacantes.
  • Verificación de la correcta actuación en todos los sistemas y procesos de la empresa.
  • Identificación de aspectos de mejora.
  • Mejora del nivel de preparación del equipo que protege los sistemas y entrena la respuesta a incidentes de ciberseguridad.

Pasos para un realizar un ejercicio de Red Team

  1. Se define y planifica el ataque que llevará a cabo el Red Team hacia la organización. Esta fase, conocida como reconocimiento, comprende las tareas en las que se intenta recopilar toda la información que se pueda sobre la organización para conocerla lo máximo posible de cara identificar posibles vías de compromiso. Su duración es variable dependiendo del tamaño de la organización sobre la que se va a ejecutar el ataque.
  2. Tras esta fase inicial, se determina cuál es el vector de ataque más apropiado para efectuar el acceso inicial: el uso de técnicas de ingeniería social, una llamada de teléfono fingiendo ser alguien de confianza, un correo electrónico suplantando la identidad de una persona, establecer contacto a través de alguna red social con alguien clave en el organigrama, el regalo de un USB infectado o incluso el acceso físico son sólo algunas de las técnicas que se podrían utilizar para realizar el compromiso de la organización.
  3. Una vez logrado el acceso inicial de la compañía, a menudo se busca mantener persistencia, de modo que sea posible acceder a los sistemas siempre que se desee.
  4. El siguiente paso consiste en analizar los sistemas internos para conocer en detalle la infraestructura. Esta etapa se conoce como fase de descubrimiento y para llevarla a cabo es habitual que el Red Team intente elevar privilegios evadiendo las defensas y así poder realizar movimientos laterales.
  5. Una vez comprometida la organización, el equipo de Red Team durante las fases de recopilación y exfiltración reúne y extrae información que considera relevante y que a menudo se ha acordado con la empresa cliente cuando se ha definido el simulacro, por ejemplo: una base de datos de clientes, los datos de nóminas de los empleados, los diseños de unas patentes, etc. y que servirá como evidencia del compromiso.
  6. Así mismo, es habitual que, una vez realizados todos los pasos previos, el Red Team comience a dejarse ver poco a poco para ver cuánto tardan las personas que protegen la organización en descubrir que le ha estado atacando. Esto último es esencialmente el objetivo final de este ejercicio: descubrir hasta qué punto está la defensa de una organización preparada frente a un ataque. De forma más concreta, lo que se busca es verificar de forma continua la efectividad de los planes de actuación, las medidas defensivas implementadas o el correcto funcionamiento de las políticas del propio equipo de seguridad interno de la organización.
  7. Finalmente, se aborda la fase de reporte en la que se presentan una serie de informes, normalmente ejecutivos y técnicos en los que se analizan en detalle las acciones llevadas a cabo por el Red Team, así como una propuesta de medidas de mejora para prevenir que un atacante real pueda aprovechar los fallos descubiertos. En ocasiones, incluso se da formación al equipo que protege la organización, en caso de ser necesario.

Servicio de Red Team 2

¿Qué técnicas se emplean?

Dependiendo de los ámbitos de actuación permitidos en el ejercicio, pueden ser utilizadas cualquier tipo de técnicas o combinación de estas, que permitan materializar una intrusión y, posteriormente acceso a los activos críticos de la organización. Algunos ejemplos de acciones comunes son:

Servicio de Red Team 3

¿Dónde recibir asesoramiento?

Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco