4 diferencias clave entre Pentesting y Red Team

Los servicios de pentesting y Red Team difieren en su alcance, la forma de cumplir los objetivos, la necesidad de ocultación y el tiempo de ejecución

En un ámbito tan complejo y en constante evolución como el de la ciberseguridad, es normal que se produzcan confusiones conceptuales. Una de las más habituales gira en torno a dos servicios clave para ayudar a las compañías a protegerse frente a las acciones maliciosas de los ciberdelincuentes: pentesting y Red Team.

Si bien los especialistas en ciberseguridad conocen a la perfección la diferencia entre un servicio y el otro, muchos profesionales con poder de decisión no tienen claras las diferencias que existen entre pentesting y Red Team. ¿Por qué es esto importante?

La decisión en torno a si una empresa contrata un servicio u otro no está en manos, únicamente, de profesionales especializados en la lucha contra los ciberataques, sino que entran en juego cargos directivos centrados en las áreas de negocio con conocimientos básicos sobre esta materia.

Por eso, resulta fundamental emplear un lenguaje claro y coherente que ayude a diferenciar de forma sencilla entre pentesting y Red Team, destacando su utilidad para las compañías, en función de los objetivos que se buscan conseguir y de las características de cada empresa.

De tal forma que, a la hora de tomar decisiones en materia de ciberseguridad, las compañías recurran a los servicios que mejor se ajusten a sus necesidades y objetivos, conjugando seguridad y negocio.

A continuación, vamos a explorar las similitudes y diferencias entre los servicios de pentesting y Red Team que presta Tarlogic. Dos disciplinas que cumplen misiones diferentes, pero complementarias, en la fortificación de las empresas (y sus clientes) en un panorama plagado de peligros.

1. Pentesting: Cumplir objetivos predefinidos

Los servicios de pentesting o test de intrusión avanzados consisten en pruebas de seguridad ofensivas contra un conjunto acotado de activos.

Mediante estas pruebas técnicas de seguridad se busca cumplir con diversos objetivos definidos antes del comienzo de los tests. Desde comprobar la eficacia de las medidas de seguridad que protegen un determinado activo, hasta la posibilidad de escalar privilegios de usuario, explotando las deficiencias detectadas en las medidas de seguridad.

Ello implica que, a la hora de contratar los servicios de pentesting, las compañías deben tener, de partida, conocimientos sobre su infraestructura IT, intuir en qué áreas pueden tener problemas de seguridad y saber dónde está su core y qué activos son críticos a nivel de negocio.

De lo contrario, no van a poder definir con precisión el objetivo del pentesting. Y, por ende, este servicio no resultará de utilidad.

El pentesting, además de cumplir con los objetivos establecidos, lista todas las vulnerabilidades detectadas en el proceso, para ayudar a las empresas a conocer sus puntos débiles y poder remedir y mitigar los riesgos.

La metodología del pentesting se sustenta sobre cinco grandes fases:

• Reconocimiento. Recopilación de toda la información posible en una fase inicial.
• Identificación. Detección de vulnerabilidades que pueden ser explotadas para cumplir los objetivos.
• Explotación. Se ejecutan los exploits contra las vulnerabilidades detectadas.
• Postexplotación. Se materializan objetivos como la persistencia o la exfiltración de información confidencial.
• Elaboración de informes de pentest. Se documentan todos los trabajos realizados, se listan las vulnerabilidades detectadas, se recopilan las evidencias y se proponen medidas para subsanar las debilidades.

El pentesting tiene un alcance acotado, una duración determinada y los profesionales encargados de la defensa del sistema están al tanto de los trabajos.

2. Red Team: Mejorar la capacidad de resiliencia frente a los ataques

Al igual que los servicios de pentesting, el Red Team es un ejercicio de seguridad ofensiva que se basa en la simulación de un ciberataque real. Sin embargo, el Red Team no se articula en torno a objetivos concretos, sino que busca evaluar las medidas de seguridad de una organización en su conjunto.

¿Para qué? Para mejorar la capacidad de resiliencia de la compañía ante ataques reales, contribuyendo a realizar una detección rápida de una agresión, a responder de forma eficaz y mantener la continuidad de negocio. Así, los servicios de Red Team sirven para:

• Detectar vulnerabilidades transversales.
• Optimizar la respuesta a los ataques.
• Mejorar la detección y análisis de incidentes de seguridad.
• Entrenar al Blue Team para mejorar su capacitación a la hora de responder a los ciberataques.

El Red Team se realiza durante periodos de tiempo largos, el alcance es el conjunto de la organización y debe pasar inadvertido frente a los profesionales a cargo de los sistemas de defensa.

3. Las cuatro claves para diferenciar los servicios de pentesting y Red Team

Habida cuenta de lo que venimos de señalar, podemos comenzar a dilucidar cuáles son las claves que nos permiten diferenciar entre pentesting y Red Team: alcance, objetivos, sigilo y tiempo.

3.1. Alcance de los trabajos realizados: Concreto vs. Flexible

Los servicios de pentesting parten de un alcance claramente definido. Por ejemplo, una web, una app, una red, un conjunto de activos, una serie de direcciones IP…

De tal forma que los profesionales que ejecuten los test de intrusión avanzados no contemplarán el conjunto de la infraestructura IT de una compañía, sino solo los elementos estipulados.

Por la contra, el alcance del Red Team es la totalidad de la organización. Es decir, cualquier activo empresarial puede ser escrutado por los profesionales del Red Team para buscar vectores de ataque que permitan vulnerar las medidas de seguridad de la compañía. Todo ello, claro está, dentro del escenario de ataque pactado entre la empresa y los profesionales de ciberseguridad.

En el Red Team, los profesionales pueden entrar al sistema a través de cualquier vía, en los servicios de pentesting han de atenerse al alcance estipulado.

Ello implica que el Red Team actúa con una mayor libertad y flexibilidad, pudiendo tomar decisiones a lo largo de la realización del servicio, modificando el enfoque y la estrategia.

Mientras que los servicios de pentesting se llevan a cabo dentro del alcance fijado y con la vista puesta en cumplir los objetivos marcados.

3.2. Objetivos y forma de lograrlos

Precisamente, uno de los elementos clave para diferenciar entre pentesting y Red Team son los objetivos que tienen cada uno de ellos. Y, sobre todo, la forma de conseguirlos.

3.2.1. Un pentesting no es una evaluación de vulnerabilidades

En algunas empresas de ciberseguridad los servicios de pentesting se limitan a descubrir vulnerabilidades, listarlas y comprobar si alguna de ellas es explotable. En realidad, la clave de los servicios de pentesting no radica únicamente en la detección de vulnerabilidades, sino en alcanzar un objetivo concreto. Por ejemplo, comprometer la seguridad de un determinado sistema o saltar entre redes y llegar a un sistema en concreto. Lo que nos permite diferenciar a los test de intrusión avanzados tanto de la evaluación de vulnerabilidades como del Red Team.

En el proceso de alcanzar el objetivo fijado, los profesionales a cargo del pentesting explotan las vulnerabilidades que detectan. En la evaluación de vulnerabilidades lo fundamental es la identificación. Mientras que, en el pentesting, como indicamos antes, tras la fase de identificación se procede a la explotación y post-explotación.

Así, aunque los servicios de pentesting listen las vulnerabilidades encontradas, no se limitan a esto, sino que buscan cumplir un objetivo claro, que sea de gran interés para la compañía. Por ejemplo, para comprobar si un activo crítico puede ser atacado con éxito y qué medidas se pueden implementar para evitarlo.

A diferencia del pentesting, el Red Team descarta las vulnerabilidades que no sirven para avanzar en la búsqueda del objetivo: comprometer la seguridad de la organización. Por ejemplo, obteniendo información sensible, saboteando productos o desplegando ransomware.

Si pensamos en la Cyber Kill Chain, al Red Team le basta con encontrar una vulnerabilidad explotable en cada fase para poder pasar a la siguiente. Asimismo, debemos tener en cuenta, lo que abordamos en el subapartado anterior: para lograr sus objetivos goza de una mayor libertad y margen de actuación que los servicios de pentesting.

3.3. Volar con total libertad o por debajo del radar

Las tornas entre pentesting y Red Team se cambian en un aspecto crucial: el sigilo y el conocimiento sobre los servicios de seguridad ofensiva.

Normalmente, antes de realizar test de intrusión avanzados se informa al Blue Team o a los responsables de gestionar la seguridad de la organización para que estén al tanto de los trabajos. Para ello se les proporcionan las fechas concretas en las que se van a prestar los servicios de pentesting, así como las IPs que se emplearán.

De tal forma que, si detectan actividad inusual procedente de dichas IPs, sepan que no están sufriendo un ataque real, ejecutado por actores maliciosos, sino que se trata de un trabajo profesional. Ello implica que, para los servicios de pentesting, generar ruido en la red y en los sistemas de monitorización no es un problema. Todos los actores que intervienen en la seguridad están alertados, no es necesario actuar con sigilo.

Por la contra, en los servicios de Red Team el sigilo es absolutamente fundamental. Los profesionales deben actuar con la máxima discreción para poder llegar más lejos en las fases del ataque.

Además, si las capas defensivas detectan las actividades del Red Team, deben resultar indistinguibles de un ataque real. De ahí que se espere que el Blue Team active todas las defensas necesarias y responda como si se tratase de un ataque real.

Como señalamos antes, el Red Team está enfocado en la resiliencia de las organizaciones. En comprobar si una compañía es capaz de detectar un ataque, levantar una defensa frente a él, expulsar a los agresores y actuar de manera eficaz durante un incidente de seguridad.

3.4. Tiempo de ejecución: Semanas vs. Meses

La cuarta cuestión que nos permite diferenciar entre pentesting y Red Team es la duración de los servicios.

En lo que respecta a los test de intrusión avanzados, la duración suele medirse en semanas, en función del alcance y los objetivos estipulados.

Ello se debe a que, como hemos señalado a lo largo de todo el artículo, los servicios de pentesting están focalizados en identificar y explotar vulnerabilidades, con un alcance bien perfilado y en un plazo de tiempo limitado.

Mientras que en lo relativo al Red Team, los plazos de ejecución se miden en meses, puesto que para simular lo que un actor malicioso puede llegar a hacer contra el conjunto de una organización, es necesario trabajar durante varios meses. De hecho, el equipo de Red Team de Tarlogic no presta servicios con una duración inferior a los tres meses.

Es más, algunas compañías contratan servicios de Red Team continuos, de cara a evaluar de forma constante la eficacia de sus defensas frente a las nuevas técnicas y metodologías de ataque que surgen constantemente.

4. Pentesting vs. Red Team: ¿Cuál es mejor?

A la luz de las diferencias entre pentesting y Red Team que venimos de desgranar, algunas personas se preguntarán ¿cuál de los dos servicios es mejor?

4.1. ¿En qué fase se encuentra la compañía?

Cada compañía es un mundo y sus necesidades y objetivos varían en función del escenario en el que se encuentre.

Las empresas con un menor nivel de madurez en ciberseguridad no están preparadas ni para someterse a los servicios de pentesting, ni para contratar a un Red Team. Así que deberían comenzar por realizar un análisis de vulnerabilidades y, a partir de ahí, construir sus capas de defensa.

A partir de ahí, pueden contratar los servicios de pentesting para comprobar, por ejemplo, si sus activos empresariales críticos están bien protegidos, o si puede vulnerar una red. Con esta información es posible mejorar las defensas e implementar herramientas de detección de ciberataques.

En este sentido, no sería conveniente poner en marcha un Red Team sin antes contar con herramientas de detección, ya que los profesionales de Red Team lograrán introducirse en los sistemas de la compañía y completar ataques sin que esta pueda detectarlos y activar sus defensas.

Mientras que, si ya se cuentan con capas defensivas eficaces, el Red Team sirve para evaluar las personas, tecnologías y procedimientos que las conforman y mostrar puntos de mejora en los tres niveles.

4.2. Seguridad ofensiva en momentos importantes y de forma continua

Como señalamos antes, algunas compañías contratan servicios de Red Team anuales. De tal manera que, constantemente, los profesionales que conforman el equipo buscan vulnerabilidades y debilidades para atacar a la organización, monitorizando cambios en la superficie de ataque y aprovechando las ventanas de oportunidad que una fuga de información puntual o nueva vulnerabilidad 0day puedan proporcionar.

La monitorización continua en servicios de Red Team permite anticiparse a otros adversarios y advertir sobre la necesidad de desplegar las medidas de protección adicionales en la empresa.

Por la contra, los servicios de pentesting, al estar limitados en el tiempo y en el alcance, son más idóneos a la hora de realizar una prueba específica de seguridad sobre un activo en concreto.

Pensemos, por ejemplo, en una entidad bancaria que va a lanzar una nueva aplicación para relacionarse con sus clientes. Antes de hacerla pública, sería conveniente someterla a un test de intrusión avanzado que permita comprobar si es posible atacar la aplicación y la infraestructura con éxito para exfiltrar la información bancaria de los usuarios.

Las compañías cuentan con activos críticos que requieren medidas de seguridad adicionales. Los servicios de pentesting pueden ser de gran utilidad a la hora de simular ataques reales y comprobar el nivel de impacto y la capacidad de tener éxito de los actores maliciosos. Proteger los activos es una cuestión esencial para cualquier empresa.

De lo contrario, se pueden ver expuestas a incidentes de seguridad que afecten gravemente a su negocio.

5. La fórmula Tarlogic: Servicios de pentesting y Red Team diferenciados, pero no excluyentes

La confusión en torno a pentesting y Red Team nace del hecho de que en muchas empresas y departamentos de ciberseguridad los equipos que llevan a cabo los test de intrusión avanzados son los mismos que los que prestan servicios de Red Team.

En Tarlogic Security, esto no ocurre. Ambos servicios están completamente diferenciados dentro del catálogo y son realizados por equipos diferentes, altamente especializados en las especificidades de estas metodologías de seguridad ofensiva.

Aunque existan muchos vasos comunicantes entre pentesting y Red Team, sus diferencias provocan que los profesionales tengan que tener aptitudes y conocimientos diferentes, puesto que las formas de trabajar no son iguales. Sin ir más lejos, no es lo mismo buscar debilidades en el conjunto de una organización durante meses, que realizar una intrusión en un activo en concreto, con un objetivo específico y un marco temporal reducido.

Que los servicios de pentesting y Red Team sean diferentes no implica que nos encontremos ante trabajos excluyentes. Ni mucho menos.

Como indicamos anteriormente, una compañía puede contratar servicios de Red Team de forma anual y, además, optar por realizar un test de intrusión sobre un activo, para conseguir una serie de objetivos de gran valor añadido para la organización.

De hecho, esta combinación de servicios de seguridad ofensiva redundaría en una mejora sustancial de la resiliencia de una compañía y la optimización de sus medidas de seguridad para salvaguardar sus activos críticos.

Servicios relacionados

• Tests de intrusión: Realización de pruebas de intrusión en aplicaciones y redes.
  Más información: Servicios de pentesting y Pruebas de ingeniería social social
• Servicios de Red Team: Ejercicios de seguridad ofensiva para simular un ataque avanzado y poner a prueba sus defensas.
  Más información: Servicios de Red Team