Ciberseguridad

Qué es un Red Team

En ciberseguridad, un Red Team es un equipo de expertos en ciberseguridad ofensiva dedicado a realizar ciberataques de forma ética y controlada. Pueden ser tus “hackers aliados”, que simulan de forma realista los pasos que siguen los cibercriminales para atacar a las empresas que sufren las fugas de datos que lees en las noticias.

En el otro lado, encontramos al Blue Team, que está compuesto por el equipo informático encargado de la seguridad, que deberá trabajar contra el Red Team para evitar sufrir el ciberataque simulado. El Red Team se encarga de atacar sigilosamente y conseguir acceso a la infraestructura empresarial, pudiendo replicar incidentes graves como una filtración masiva de datos o la interrupción de los procesos críticos de las organizaciones.

Rol que desempeña en la seguridad empresarial

Un Red Team actúa poniendo a prueba las defensas de las empresas y revela aquellas áreas que necesitan ser reforzadas. De esta manera, un Red Teaming permite anticiparte a los ataques de los cibercriminales y proteger tus activos más valiosos.

Al simular las tácticas de atacantes reales, prepara al máximo contra un ataque informático, poniendo a prueba la capacidad de reacción de tu empresa. La simulación ayuda a identificar los puntos débiles antes de que un cibercriminal los explote. Además, proporciona una evaluación objetiva de la efectividad de controles de seguridad, lo que te permite mejorar la seguridad de las comunicaciones y procesos de las empresas.

Qué hace único al Red Teaming

El Red Teaming no se limita a buscar vulnerabilidades conocidas o realizar un informe de todos los fallos encontrados en la infraestructura informática, sino que va un paso más allá identificando nuevas amenazas a nivel del negocio.

A diferencia de otras auditorías de ciberseguridad como los análisis de vulnerabilidades o pentesting, el Red Teaming ataca en función de las características de la empresa, siendo cada ataque único. Simulan tácticas y técnicas novedosas, dado que están constantemente actualizados de los últimos fallos de seguridad.

Al adoptar la mentalidad del atacante, un Red Team puede descubrir vulnerabilidades que podrían pasar desapercibidas, pero que tienen un gran impacto en la empresa. Esto incluye comprobar la eficacia de las campañas de concienciación, formación y manuales relativos a la seguridad de la información.

Cómo opera un Red Team

Un Red Team adapta su arsenal de herramientas a las características de la empresa a auditar, aunque su forma de operar puede definirse en las fases que conocerás a continuación. Cada una de las fases es clave, dado que cada una tiene un objetivo específico para conseguir el éxito.

Es importante comprender que un Red Team no es un pentesting, tiene un enfoque y objetivo diferente. Si quieres conocer las diferencias al completo, en el artículo Diferencias entre Red Teaming y pentesting detallamos las diferencias en metodología y enfoque, así como los tipos de pentesting que existen.

Planificación y reconocimiento

Esta etapa permite construir un mapa detallado de la estructura de la empresa para identificar los vectores de ataque potenciales. A través de técnicas OSINT (Inteligencia de fuentes abiertas), los atacantes obtienen una comprensión profunda de la organización y sus activos.

La fase de planificación es crucial para el éxito de un ejercicio de Red Team. En esta etapa, el equipo recopila información sobre la organización objetivo, socios, trabajadores y proveedores para conocer al máximo posible la empresa. La información humana que consigan puede ser aprovechada para realizar ataques de ingeniería social.

También se realiza un reconocimiento de la superficie de ataque donde se investigan los sistemas de red, se buscan posibles vías de entrada y vulnerabilidades en los servidores expuestos. En esta fase, pueden encontrarse activos útiles para el ataque, como servidores con vulnerabilidades sin parchear, cuentas de correo electrónico con contraseñas comprometidas, o accesos remotos con escasa protección.

Ejecución del ataque

Durante la ejecución del ataque, el Red Team intenta ser sigiloso para no ser detectado por el Blue Team. Dentro de la ejecución del ataque podemos encontrar varias fases, como:

• Establecimiento de la persistencia: El primer objetivo del Red Team es conseguir acceder al interior del sistema de forma continuada gracias a un acceso persistente. Se pueden implementar técnicas para mantener el acceso a los sistemas comprometidos a largo plazo, como el uso de puertas traseras o sistemas de mando y control (Command and Control).
• Reconocimiento interno: Se busca información que pueda ser útil para moverse por dentro de la red sin ser detectado. Puede revisarse el correo electrónico de una cuenta comprometida, un servidor NAS, o realizar un escaneo de red de forma sigilosa para detectar a qué servidores se tiene alcance.
• Búsqueda y explotación de vulnerabilidades: Se analizan los activos encontrados en búsqueda de información relevante, fallos en la seguridad de las comunicaciones o en la configuración de los sistemas. En resumen, cualquier fallo en la infraestructura que pueda ser útil para moverse de forma sigilosa a través de la red.
• Movimientos laterales: Gracias a la información obtenida en el reconocimiento interno y en la búsqueda de vulnerabilidades, se intenta pivotar a otras máquinas que estén al alcance del equipo de Red Team con el objetivo de conseguir acceso a más partes desconocidas de la red.
• Exfiltración de datos: Una vez se haya conseguido acceder al sistema y conseguir la valiosa información, que puede variar desde bases de datos de clientes hasta código fuente, la información conseguida debe exfiltrarse utilizando diferentes canales sin ser descubiertos, como el correo electrónico o la transferencia de archivos.

Reporte y análisis

Una vez finalizada la maniobra del Red Team, es momento de documentar y comunicar los hallazgos. En esta fase se reportan las vulnerabilidades encontradas y se detallan los pasos seguidos para conseguir acceso a la información.

Los informes de ciberseguridad suelen incluir un resumen ejecutivo y una explicación técnica de los fallos de seguridad encontrados, de cómo pueden ser explotados, cuál es su impacto en la empresa si un cibercriminal lo explotase y las soluciones posibles. También incluyen una evaluación de los riesgos encontrados, clasificando las vulnerabilidades según su gravedad y prioridad, ayudando a las empresas a centrarse en las amenazas más críticas.

El objetivo es proporcionar a la organización unas directrices para poder crear un plan de acción claro y conciso que mejore su postura de seguridad. Estas recomendaciones pueden incluir la aplicación de parches de seguridad, la modificación de configuraciones de firewalls o servidores, la implementación de controles de acceso más estrictos o la capacitación de los empleados.

Principales vulnerabilidades que detecta un Red Team

Durante un Red Team se analiza la infraestructura de las organizaciones para encontrar los fallos críticos que pueden comprometerla. A continuación, exploraremos algunas de las vulnerabilidades más comunes que suelen identificar.

Configuraciones incorrectas

Las configuraciones incorrectas de sistemas, aplicaciones y servidores son una de las causas más frecuentes de vulnerabilidades en las empresas. Estas pueden incluir contraseñas débiles, permisos excesivos o puertos abiertos innecesariamente.

Un Red Team puede aprovechar las configuraciones incorrectas a su favor, consiguiendo accesos privilegiados a los sistemas. Algunos fallos de configuración más comunes son:

• Configuraciones incorrectas de firewalls: Reglas mal configuradas en firewalls que permiten tráfico no autorizado y accesos remotos que no se encuentran correctamente protegidos.
• Contraseñas débiles o por defecto: Contraseñas fáciles de adivinar, reutilizadas en múltiples sistemas o contraseñas por defecto que no son cambiadas durante las instalaciones y mantenimientos del equipo.
• Permisos excesivos: Usuarios con más privilegios de los necesarios para realizar sus tareas, debido a errores humanos o errores en la configuración de los permisos de acceso.
• Falta de hardening: Los sistemas operativos y aplicaciones sin medidas de seguridad implementadas pueden ser la causa de accesos no permitidos y robos de datos. Es importante aplicar guías de configuración segura para los servidores.

Vulnerabilidades físicas y de ingeniería social

Las vulnerabilidades físicas y de ingeniería social son a menudo subestimadas y no se tienen en consideración. Los atacantes pueden aprovecharse del exceso de confianza de los empleados y de un control de acceso físico poco trabajado. Estas vulnerabilidades aprovechan la naturaleza humana y los fallos en los controles físicos. Entre otras, podemos encontrar las siguientes:

• Acceso físico no autorizado: El Red Team puede acceder a instalaciones restringidas para robar dispositivos, introducir USBs en ordenadores mal protegidos, revisar los puestos de oficina para observar si hay contraseñas anotadas en papeles visibles para cualquier persona que lo observe.
• Ingeniería social: Ataques como phishing, spear phishing, smishing o vishing para engañar a los empleados y obtener información confidencial o acceso a sistemas.

Fallas en la seguridad de la red

Las redes corporativas son a menudo el objetivo principal de los atacantes para conseguir moverse a través de toda la empresa. Las fallas en la seguridad de la red puede permitir al Red Team pivotar lateralmente dentro de la red y acceder a sistemas y datos sensibles. Entre otros, podemos encontrar vulnerabilidades como:

• Vulnerabilidades en dispositivos de red: Los routers, switches y otros dispositivos de red sin los parches de seguridad disponibles por el fabricante pueden suponer el fin de tu empresa.
• Falta de segmentación de redes: Una red sin segmentación puede permitir que el Red Team, al obtener acceso a la red, pueda moverse sin problemas a través de ella y tener acceso a un gran número de servidores. Si no existe una segmentación adecuada, se facilita la propagación de malware y el acceso a sistemas críticos.
• Vulnerabilidades en protocolos de red: A menudo, un Red Team puede aprovechar el uso de protocolos obsoletos o inseguros para comprometer los sistemas y conseguir acceso a sistemas o información confidencial de la empresa.

Vulnerabilidades Zero-Day

Las vulnerabilidades Zero-Day son aquellas que no son conocidas por el fabricante, por lo que no suelen ser conocidas por la comunidad ni existen parches de seguridad disponibles. Estas vulnerabilidades son especialmente peligrosas ya que los atacantes pueden explotarlas antes de que las organizaciones puedan tomar medidas para protegerse.

Un Red Team puede identificar vulnerabilidades Zero-Day en los sistemas creados a medida en las empresas, utilizando herramientas de análisis de código fuente y pentesting. Debido a la gran experiencia de los expertos en ciberseguridad, pueden encontrar fallos que permitan acceder a contenido no autorizado o datos sensibles, entre otros.

El Red Team puede encontrar vulnerabilidades Zero-Day de las siguientes formas:

• Análisis de código fuente: Revisar el código fuente de aplicaciones en busca de errores de programación que permita acceso a contenido sensible, conseguir privilegios de administrador en el sistema, o inyecciones SQL en las bases de datos, entre otros.
• Análisis de seguridad de las aplicaciones: Observar la estructura y el comportamiento del software para detectar qué partes pueden tener fallos de seguridad, donde el pensamiento lateral del Red Team puede revelar fallos ocultos a simple vista.
• Cadena de explotación de vulnerabilidades: Se pueden aprovechar las vulnerabilidades existentes para descubrir nuevos fallos de seguridad en los sistemas, por lo que un fallo no corregido a tiempo puede suponer nuevas vulnerabilidades.

¡Prepárate para una auditoría de seguridad desde una visión ofensiva! El Curso de Hacking Tools & Forensic: Red Team de OpenWebinars te proporcionará las habilidades necesarias para el hacking en infraestructuras.

Casos de estudio: Red Team en acción

En los siguientes casos de estudio, conocerás escenarios en los que una maniobra de Red Teaming ayuda a las empresas a conocer los puntos débiles de su infraestructura y procesos, y cómo los hackers éticos pueden desestabilizar una organización, infiltrándose en las redes.

Caso 1

Un Red Team inició un ataque a una empresa de servicios financieros. Tras una exhaustiva fase de reconocimiento, lograron obtener una visión detallada del organigrama de la compañía. Escogieron al personal activo en Linkedin, y, haciéndose pasar por una empresa de la competencia, contactaron con ellos para ofrecerles una muy generosa oferta de trabajo.

El Red Team simuló ser personal de recursos humanos, enviando un correo electrónico personalizado a cada persona escogida, adjuntando un archivo malicioso que simulaba ser la oferta de empleo. El documento adjunto, descargaba un malware en el equipo del trabajador. Al abrirse el archivo, el malware se conecta al servidor controlado por los atacantes, estableciendo una vía de acceso para el Red Team.

Aprovechando el acceso obtenido, el equipo realizó un reconocimiento interno de la red y de los documentos de la empresa, además de comprobar los permisos de acceso que tenían los usuarios que habían sido comprometidos. Entre los documentos y correos electrónicos, encontraron contraseñas en texto plano en archivos y conversaciones, que probaron a utilizar para conseguir acceso a diferentes aplicaciones y comenzar el robo de información.

También descubrieron que para teletrabajar, los usuarios utilizaban el protocolo de escritorio remoto (RDP) para acceder a sus equipos desde cualquier lugar, y disponían de una VPN que no disponía de segundo factor de autenticación y la contraseña la misma que la del correo electrónico.

Explotado este punto de entrada, los atacantes lograron un acceso mayor a la red interna. Investigando en la red interna, dieron con el portal de gestión de clientes, el cual contenía una vulnerabilidad que no había sido parcheada, obteniendo permisos de administrador al sistema y pudiendo recopilar todos los datos de los clientes. Dado que no había control de las aplicaciones utilizadas por los usuarios, el equipo de Red Team cifró los datos robados y utilizó un servicio de almacenamiento en la nube para subir los documentos.

A través de este ataque Red Team, la empresa obtuvo valiosa información de cómo podían mejorar su seguridad:

• Activaron el segundo factor de autenticación en las cuentas corporativas y accesos VPN.
• Elaboraron un plan de mantenimiento de las aplicaciones y contrataron un servicio de análisis de vulnerabilidades trimestral.
• Realizaron una revisión de permisos en el sistema para todos los usuarios, mejorando el control de acceso.
• Implantaron un sistema de actualización y gestión de contraseñas integral que facilitó la actualización periódica de las contraseñas en los servidores y usuarios.

Caso 2

Un Red Team debía comprometer una empresa de desarrollo de software con el objetivo de poner a prueba la seguridad de su nueva oficina. Los atacantes acudieron al edificio simulando ser comerciales de material de oficina y solicitando información del personal de adquisición y compras, para tener una reunión con ellos.

Al entrar al edificio, inspeccionaron las puertas de control de acceso, que funcionaban con tarjetas, también observaron que no había video-vigilancia. Cuando se acercaron al mostrador, observaron que el ordenador del personal de recepción tenía puertos sin proteger, donde colocaron hábilmente un dispositivo de interfaz humana que simula un USB de almacenamiento. Ese pendrive malicioso estaba programado para conectarse directamente con los servidores del Red Team.

Con acceso a la red de la empresa, realizaron un reconocimiento interno para enumerar usuarios del sistema, servidores y el alcance que tenían. Durante el reconocimiento, encontraron un servidor que era utilizado para realizar pruebas en el software. Utilizaron técnicas como password spraying, obteniendo acceso a una cuenta genérica que podía conectarse al servidor de pruebas.

En este servidor de pruebas, la empresa tenía desarrollos que todavía no habían salido a la luz, y si la competencia lo conocía, perdería una gran ventaja en su sector. El Red Team también detectó que el repositorio de código tenía vulnerabilidades en la plataforma utilizada, lo que aprovechó para conseguir permisos de administrador al repositorio con la cuenta genérica, y tuvieron acceso a todo el código fuente.

Con estas credenciales, los atacantes tenían la posibilidad de añadir una puerta trasera en el código y permitir accesos remotos a los servidores de los clientes que utilizasen su aplicación desde cualquier parte del mundo. Esto permitiría robar datos de los clientes, modificar precios o incluso tomar el control completo de la plataforma.

A través de este ataque Red Team, la empresa detectó los fallos que podían comprometer al completo su negocio. Gracias al ataque, mejoraron la seguridad tomando pasos como los siguientes:

• Redujeron al mínimo las cuentas compartidas, aumentando la fortaleza de las contraseñas.
• Reforzaron el acceso a los diferentes entornos, segmentando la red de servidores de pruebas.
• Habilitaron políticas para evitar el uso de dispositivos extraíbles en los equipos corporativos.
• Reforzaron las políticas de control de acceso a las instalaciones.

Conclusiones

En la actualidad, la gran dependencia tecnológica que existe en las empresas en la actualidad refleja la necesidad de proteger la información, y cada año aumenta el número de ciberataques. Para formar a tu equipo y prepararlo ante ciberincidentes, la Ruta de formación en ciberseguridad en la empresa ofrece la protección a los principales riesgos de seguridad informática de las empresas.

Es importante que todo el equipo que forma la empresa esté concienciado en la importancia de la ciberseguridad, siendo indispensable la figura del mánager de ciberseguridad. Para conseguir la mejor gestión de la ciberseguridad en tu empresa, el Curso de gestión en ciberseguridad: Conviértete en Cybersecurity Manager te otorgará las claves para gestionar con éxito la seguridad de la información.

Un Red Teaming no sólo ayuda a identificar vulnerabilidades técnicas en los sistemas, sino que también evalúa la ciberresiliencia de las empresas y pone a prueba los protocolos y procesos de las empresas. Este ejercicio ayuda a mejorar al equipo técnico, además de concienciar a los puestos de dirección de las catástrofes que pueden suceder si los ataques simulados por el Red Team fuesen reales.

Invertir en auditorías de ciberseguridad, sea Red Teaming, Pentesting o Análisis de Vulnerabilidades, no debe ser considerado como un gasto técnico, sino como una inversión para mantener la continuidad del negocio y asegurar que los activos más importantes de la empresa están protegidos. Un Red Team puede evitar grandes pérdidas económicas, de reputación e incluso sanciones legales; ayudado a las empresas a madurar tecnológicamente.