Los colores de la Ciberseguridad

Francisco Hernández. Seguramente alguna vez has escuchado o leído en el mundo de la Ciberseguridad a personas que se refieren que son Blue team o que se enfocan más a ser Red Team. No es que sea una preferencia sobre color o algo como el  Team Calor o Team Frío, sino que estos términos se refieren al perfil y actividades de los especialistas en el mundo de la ciberseguridad, quienes desempeñan un papel crucial en las organizaciones para la defensa contra las amenazas y ataques informáticos.

Estos conceptos de colores provienen de ejercicios militares donde se dividen equipos en rojo y azul para simular atacantes y defensores, respectivamente (como ese capítulo de Malcolm in the Middle cuando Reese va al Ejército y están en una simulación de guerra entre equipos rojo y azul.

En el contexto de la ciberseguridad, el Blue Team es el brazo defensivo, responsable de fortificar sistemas, detectar posibles intrusiones, amenazas y responder a incidentes de ciberseguridad para mantener la seguridad e integridad de los activos digitales dentro de las organizaciones.

En contraparte, ser del Red Team implica más operaciones ofensivas y éticas contra los sistemas de la información de una empresa para evaluar su postura de seguridad, desde la perspectiva de un adversario o atacante malicioso. Este enfoque permite a las organizaciones fortalecer sus defensas de manera efectiva y proactiva contra amenazas del mundo real.

Realidad en el campo laboral

Las organizaciones no tienen, como tal, un puesto o un área que se llame Blue Team o Red Team. En todo caso, sin integrantes con perfiles enfocados a una responsabilidad o actividades vinculadas con la defensa de las organizaciones.

Un ejemplo es el Analista de Seguridad de la Información, entre cuyas responsabilidades principales están monitorear y analizar eventos e incidentes de seguridad, detectar posibles amenazas y responder a las alertas y ataques de ciberseguridad. Otro nombre del puesto puede ser el de Analista de Centro de Operaciones de Seguridad (SOC - Security Operations Center). Sin embargo, el nombre del puesto es lo de menos: lo importante son las actividades por desempeñar.

Algunos ejemplos adicionales de puestos y actividades de seguridad relacionados al Blue team:

Analista forense digital: investiga y recopila evidencia de actividades cibernéticas maliciosas o delitos informáticos.

Auditor informático: evalúa  y analiza la seguridad de los sistemas de información y redes de una organización. Su objetivo principal es asegurar que las políticas de seguridad y los controles establecidos sean adecuados y cumplan con los estándares de seguridad.

Arquitecto de seguridad: diseña e implementa soluciones de seguridad para proteger la infraestructura y los datos de una organización. Trabaja en el diseño de la arquitectura de seguridad de red, sistemas y aplicaciones, cerciorándose de que estén alineados con las mejores prácticas y estándares de seguridad.

Para defenderse hay que saber cómo atacan

Cuando se es miembro del Blue Team, es necesario aprender y conocer cómo trabajan los agentes maliciosos, así como la forma en la que laboran y las técnicas que utilizan para realizar sus actividades malintencionadas, esto con miras a neutralizar cualquier tipo de ataque malicioso. No es necesario saber a detalle cómo realizan exactamente estos ataques, pero sí comprender (al menos) la metodología de cómo funcionan y cómo lo ejecutan para implementar la mejor defensa posible.

El campo laboral rojo

A diferencia de los puestos  relacionados con el Blue team, que los puedes encontrar en cualquier organización de cualquier giro siempre y cuando desean tener un equipo especializado en mantener la integridad y seguridad de su información, los especialistas enfocados en el Red team son un poco diferentes, ya que los puestos con  perfil ofensivo se encuentran más en las empresas dedicadas a ofrecer un servicio de consultoría de ciberseguridad a otras organizaciones.

Si recuerdas  Better call Saul, hay un capítulo donde Mike Ehrmantraut  entra a una empresa mediante trucos y engaños, paseándose como si nada por múltiples departamentos sin que nadie le diga algo. Al final, encuentra a un gerente del lugar a quien le cuenta todos los trucos y engaños que utilizó para llegar hasta ahí, que no tuvo problemas para adentrarse en lo más profundo de esa empresa, leer documentos y archivos confidenciales y notificarle que él podía apoyarlos con la consultoría de seguridad de su empresa y robustecer las medidas para que nadie más pueda entrar así como él. Lo anterior es un caso muy similar a lo que sería una persona con el perfil del Red Team.

Ojo: este ejemplo es un escenario de una serie ficticia. Se debe de evitar a toda costa realizarlo de esta manera.

Si le ponemos un nombre a este ejemplo en el contexto de la Ciberseguridad, las personas que incursionan de esta manera se dedicarán al Pentesting o al Hacking ético. Por lo general, son especialistas que ofrecen por sí mismos o como parte de una organización, servicios de seguridad ofensiva controlada para identificar los puntos débiles en la infraestructura y sistemas de una organización.

Lo ideal es conocer la postura de ciberseguridad de las organizaciones y saber el nivel de madurez que tienen para idear un plan que robustezca la seguridad en los puntos débiles detectados en el análisis.

Un gran poder conlleva una gran responsabilidad

Como especialista del Red Team, se debe tener en cuenta que todas sus actividades y servicios se realizan con un fin profesional e informativo para generar una mejora para las personas y las organizaciones. De ninguna manera, nunca, debe emplear sus conocimientos para afectar malintencionadamente alguna organización o persona.

Estas son algunas de las actividades que suele realizar una persona del Red Team:

Pruebas de Penetración y Evaluación de Vulnerabilidades: Simula ataques del mundo real en las redes, sistemas, servidores y aplicaciones de una organización. Los hackers éticos que componen el Equipo Rojo emplean diversas tácticas, técnicas y procedimientos (TTP), así como también herramientas dedicadas a fingir ataques e identificar posibles vulnerabilidades y debilidades que los actores maliciosos podrían aprovechar.

Desafiar las Defensas: Al adoptar un enfoque adversarial, el Equipo Rojo pone a prueba la efectividad de los controles y medidas de seguridad existentes implementados por el Equipo Azul. Esto permite a las organizaciones comprender mejor sus debilidades y corregirlas antes de que los hackers maliciosos puedan explotarlas.

Mejorar las Capacidades de Respuesta a Incidentes: A través de las operaciones del Equipo Rojo, las organizaciones pueden evaluar sus capacidades de respuesta a incidentes, así como evaluar la eficiencia de los sistemas de monitoreo y detección y respuesta de seguridad.

Simulación de Escenarios del Mundo Real: El Equipo Rojo intenta replicar las tácticas utilizadas por los actores de amenazas del mundo real, incluidas las amenazas persistentes avanzadas (APT) y otros vectores de ataque sofisticados, como técnicas del tipo Phishing e Ingeniería Social.

Colaboración de colores

Organizaciones más maduras y grandes suelen agrupar los dos perfiles de las personas enfocadas a los Equipos Rojo y Azul para formar un Purple Team, permitiéndoles evaluar y mejorar conjuntamente la postura de seguridad general de la organización. En todo caso, el Equipo Rojo utiliza sus capacidades ofensivas en ataques simulados para ayudar al Equipo Azul a identificar y crear las mejores estrategias defensivas.

Al final, los verdaderos profesionales y especialistas en el mundo de la ciberseguridad son quienes buscan emplear sus conocimientos para el bien común. Ya sean del Red o Blue Team, hay que colaborar en conjunto para ayudar a las personas y a las organizaciones a evitar cualquier amargo incidente de ciberseguridad causado por agentes maliciosos, que solo buscan su propio beneficio sin importarles afectar a terceros.

Espero que este artículo haya sido de utilidad. Cuida siempre tu ciberseguridad.

¡Hasta luego!