Equipos de Seguridad. Pentesting vs Red Teaming

Habitualmente se distinguen dos tipos de equipos de seguridad:

  • Red Team (Equipo Rojo): Realiza labores de seguridad ofensiva, por lo que en ellas se incluyen las acciones de un hacker ético.
  • Blue Team (Equipo Azul): Realiza labores de seguridad defensiva como respuesta a incidentes, análisis forense digital, investigación de amenazas, bastionado de sistemas, seguridad operativa. etc...
A menudo, los términos pentesting y red teaming se confunden o se usan indistintamente, pero hay diferencias importantes entre ellos. Un pentest está orientado a una acción concreta sobre un objetivo y cuya duración en el tiempo suele ser reducida. En cambio, las labores del Red Team consisten en un ejercicio continuo y constante de prueba de las defensas del objetivo para tratar de superarlas evitando ser descubiertos. Estos ejercicios o simulacros emulan el comportamiento de grupos de ciberdelincuentes, también llamados APT (Advanced Persistent Threat), y cuyo modus operandi se encuentra en la matriz de Táctica, Técnicas y Procedimientos (TTP) de MITRE Att&ck.

Por tanto, el objetivo del Blue Team será que el Red Team no tenga éxito. La forma tradicional de organizar estos equipos era que trabajasen de forma independiente. Más recientemente aparece el Purple Team, que realiza una puesta en común del trabajo de ambos equipos para analizar las debilidades, establecer mejoras y organizar los siguientes ejercicios.

Técnicas de Red Team
En ocasiones, la labor del Red Team involucra el acceso físico a las instalaciones de la empresa auditada con el fin de acceder a sus equipos, encontrar documentación, robar dispositivos de almacenamiento, desplegar dispositivos para realizar posteriores acciones remotas, y cualquier otra acción que pudiera realizar un atacante, lo que plantea un escenario totalmente distinto al de un test de intrusión. En estos accesos físicos puede ser necesario utilizar lock picking, que consiste en desbloquear candados o cerraduras para tener acceso a lugares restringidos.

El lock picking clásico empleando ganzúas está cada menos presente debido al uso de los sistemas de acceso electrónicos y biométricos. Hay numerosas herramientas para auditar y tratar de atacar estos sistemas de acceso; la más conocida del mercado es Proxmark 3.

El dispositivo hardware más empleado en los ataques físicos es el Rubber Ducky USB, un minicomputador que simula el comportamiento de un teclado y que en caso de ser conectado en un equipo puede desplegar de forma automática numerosas acciones programadas de antemano. La idea detrás de este dispositivo es colocarlo de forma clandestina en el ordenador de algún empleado mientras no está en su puesto de trabajo. Solo unos segundos son suficientes para comprometer el equipo y obtener una puerta de entrada en la empresa. Este tipo de dispositivo se conoce como Bad USB.

Un dispositivo con características similares es el Bash Bunny, que, además de poder simular un teclado, también puede simular otros dispositivos hardware, como una tarjeta de red Ethernet, un puerto serie o un dispositivo de almacenamiento, por lo que los vectores de ataque pueden ser más variados. Ambos dispositivos son fabricados y distribuidos por la empresa hak5.

Existen muchos otros dispositivos, como Flipper Zero, KeyCroc, Evil Crow RF y Evil Crow RF V2. Se puede encontrar toda la información de estos dispositivos, así como los enlaces a las tiendas online donde se pueden comprar en su repositorio de github.