Equipo rojo contra equipo azul
Por Guillermo Cobos
Cuando se habla de ciberseguridad usualmente nos encontramos con los conceptos de “equipo rojo” y “equipo azul”. En un paralelismo con mecanismos castrenses, estos equipos se refieren a las funciones que tienen ambos equipos para imitar movimientos que los “enemigos” estarían utilizando, mientras que los de casa despliegan sus habilidades para defenderse. Lo mismo pasa en ciberseguridad.
Las tareas que los equipos rojos efectúan son las que se centran en pruebas de penetración de diferentes sistemas y sus niveles de seguridad. Su función es identificar, prevenir y eliminar vulnerabilidades. El equipo rojo imita los ataques que el mundo real pudiera estar realizando hacia su empresa. Cuando se toma el papel del atacante, estos equipos indican a las organizaciones los agujeros de seguridad o vulnerabilidades explotables que representan una amenaza para la ciberseguridad de su institución.
Usualmente se contrata a una entidad ajena a la organización para ejecutar este tipo de tareas. Esta entidad debe tener el suficiente conocimiento para poder explotar las vulnerabilidades de seguridad, pero no tiene información de las herramientas y procesos o procedimientos con que la empresa cuenta para su propia defensa.
Existen diversas formas que los equipos rojos utilizan para realizar su trabajo. Harán intentos de phishing dirigido, ingeniería social, ataques de fuerza bruta, barrido a las aplicaciones y bases de datos del negocio y un largo etcétera.
Con este trabajo de los equipos rojo, las empresas tienen claridad del grado de defensas cibernéticas con las que cuentan. Pero, y entonces, ¿qué son los equipos azules?
¿Qué son y qué hacen los equipos azules? Pensemos en un juego de futbol americano. Hay momentos en que los equipos atacan y hay momentos en que los equipos defienden. Digamos que los equipos rojos son los que les toca atacar y a los equipos azules, defender.
El equipo azul le toca identificar las formas y mecanismos de defenderse, de cambiar y redefinir la defensa para que la respuesta a los ataques, sea eficiente. El equipo rojo necesita saber las tácticas necesarias para poder identificar y explotar las vulnerabilidades de la empresa; pero el equipo azul también le toca conocer la misma información para poder defenderla. El equipo azul está permanentemente involucrado en la defensa activa y reactiva de su valor más preciado que es, la información.
Dentro de los alcances que debe tener el equipo azul, es necesario considerar no solamente herramientas y mecanismos digitales para llevar a cabo su tarea. Es necesario e imprescindible, el contar con procesos y procedimientos que las personas deben seguir en determinadas situaciones y escenarios. Pero el eslabón más importante, es el de las personas. Por más sofisticación que la empresa tenga en sistemas de defensa digital, si las personas no están lo suficientemente capacitadas y conscientes de los peligros y amenazas en las que las empresas están inmersas de manera cotidiana, la seguridad se hace agua.
¿En mi empresa necesito un equipo rojo o uno azul?
La realidad es que no hay equipo rojo sin equipo azul y viceversa. La respuesta adecuada es que las empresas necesitan ambos equipos. De hecho, la gran mayoría de las veces en las empresas nos encontramos a personal de seguridad informática dedicado fundamentalmente a estar apertrechando a la organización en materia de defensa cibernética. Sin embargo, el mismo personal está interesado en efectuar ensayos de ataque controlado a las empresas para “probar” si sus defensas están actuando como deberían.
Es equivocado pensar que un equipo sea mejor que otro. Lo importante es saber el objetivo de ambos que es, la prevención de delitos informáticos. Hay quienes dicen que mejor se formen equipos morados.
La realidad es que eso es un chiste. Lo que se busca en esos escenarios es una combinación de tareas de equipos rojos y azules. La forma de organización particular de cada empresa es decisión de cada una, mientras se consigan los objetivos de ambos. Ambos son necesarios en su momento. Las auditorías de seguridad, las pruebas de penetración y el desarrollo de la infraestructura de seguridad, son elementos que las empresas y las organizaciones usan para fortalecer su postura de seguridad cibernética.
En el siguiente enlace te explico las 5 mejores habilidades de los equipos rojo y de los equipos azules deben tener.
Sígueme en mis siguientes artículos para más ideas estratégicas de transformación digital
@memocobos
https://www.linkedin.com/in/consultorseguridadinformatica/
Instagram: cobos.memo
