Ciberseguridad y privacidad digital

¿Por qué apostar por pruebas de simulación avanzada de ciberataques?

guillermo gonzalez
Guillermo González González
Director de Technology Risk y Ciberseguridad de KPMG en España
24 septiembre, 2024
2 min

Cada vez son más sofisticados: las técnicas de ataque de los ciberdelincuentes, como el Ransomware avanzado, los ataques de cadena de suministro y los ataques de ingeniería social dirigidos (uso de IA), han hecho que incluso las organizaciones con mayores capacidades de protección sean vulneradas. Tanto es así que muchas empresas del IBEX 35, a pesar de sus grandes presupuestos en seguridad, a menudo luchan por mantenerse al día con la rápida evolución de las amenazas cibernéticas. Si bien es cierto que aún hay organizaciones que subestiman la importancia de adoptar un enfoque proactivo en la protección de sus activos, tanto digitales como físicos y humanos. Es aquí donde las pruebas de Red Team emergen como una herramienta crucial no solo para fortalecer y entrenar a los equipos de ciberseguridad defensiva y de respuesta, sino también para cumplir con las cada vez más exigentes regulaciones existentes como DORA, NIS2, SOX, entre otras.

¿Qué son las pruebas de Red Team?

Las pruebas de Red Team consisten en ejercicios de seguridad avanzados que simulan ataques reales contra los sistemas, redes y aplicaciones de una organización. A diferencia de las pruebas de penetración tradicionales, los ejercicios de Red Team son más exhaustivos ya que se asemejan a las tácticas, técnicas y procedimientos (TTP) utilizados por adversarios reales.

Las pruebas de Red Team tienen la capacidad de identificar vulnerabilidades que podrían pasar desapercibidas en pruebas de seguridad estándar

La principal ventaja de las pruebas de Red Team radica en su capacidad para identificar vulnerabilidades que podrían pasar desapercibidas en pruebas de seguridad estándar como análisis de vulnerabilidades o un test de intrusión. Al emular las acciones de atacantes reales, estos ejercicios:

  1. Descubren puntos débiles en la infraestructura y procesos de seguridad.
  2. Evalúan la eficacia de los controles de seguridad existentes.
  3. Prueban la capacidad de detección y respuesta del equipo de seguridad (Blue Team) ante incidentes reales.
  4. Proporcionan una visión realista y transversal de la postura de seguridad de la organización.

¿Quién está detrás de los equipos de Red Team?

Los equipos de Red Team se componen por diferentes perfiles con un alto nivel de expertise en la ejecución de pruebas ofensivas que simulan ataques reales en diferentes escenarios y ambientes. Dentro de estos equipos hay diferentes perfiles que van desde expertos en la evasión de defensas (antivirus / EDR), creación y operación de artefactos malware, expertos en movimientos laterales y persistencia, exfiltración de información, entre otros.

Dentro de estos equipos es vital la capacidad de innovación (research / I+D), para garantizar la efectividad de los ejercicios y mantener la relevancia del equipo en un panorama de amenazas en constante evolución. Y es que la mejora continua de la capacidad técnica es lo que permite al equipo de Red Team descubrir nuevas vulnerabilidades (en términos de ciberseguridad, ‘Zero Day’),  desarrollo de nuevas herramientas/automatizaciones (adopción de IA en determinados procesos) y la adaptación de las técnicas, tácticas y procedimientos utilizados por el Red Team (proceso de mejora continua del servicio).

Cumplimiento de regulaciones actuales

Las pruebas de Red Team no solo mejoran la seguridad de las compañías, sino que también juegan un papel crucial en el cumplimiento de regulaciones emergentes.  La regulación DORA (Digital Operational Resilience Act) de la Unión Europea exige a las entidades financieras realizar pruebas avanzadas de resiliencia cibernética. Las pruebas de Red Team cumplen con estos requisitos al proporcionar una evaluación exhaustiva de la capacidad de una organización para detectar y responder a amenazas avanzadas.

¿Quieres saber cómo integrar el Red Team en la estrategia de seguridad?
Te ayudamos a proteger tu futuro

La Directiva NIS 2 (Network and Information Systems Directive), por su parte, amplía los requisitos de ciberseguridad a más sectores. Y, en este caso, las pruebas de Red Team ayudan a las organizaciones a cumplir con las expectativas de gestión de riesgos y reportes de incidentes establecidas por NIS 2. Y, por otro lado, el TIBER-EU (Threat Intelligence-based Ethical Red Teaming), un marco desarrollado por el Banco Central Europeo, establece directrices específicas para pruebas de Red Team en el sector financiero, por lo que adoptar estas prácticas no solo asegura el cumplimiento, sino que también eleva el estándar de seguridad de la organización.

Beneficios más allá del cumplimiento de la norma

Pero, más allá del cumplimiento regulatorio, las pruebas de Red Team ofrecen ventajas significativas para las organizaciones:

  1. Mejora continua: Proporciona información valiosa para la toma de decisiones para mejorar la postura y estrategia de ciberseguridad.
  2. Concienciación: Aumenta el nivel de concienciación y sensibilidad sobre la ciberseguridad en toda la organización.
  3. Priorización de recursos: Ayuda a identificar y priorizar las áreas más críticas que requieren de una mayor inversión económica en su protección.
  4. Validación de controles: Confirman la eficacia de las medidas de seguridad actualmente implantadas.

Es por todo ello que las pruebas de simulación avanzada de ataques (Red Team) permiten no sólo mejorar las capacidades de detección y respuesta de los equipos de seguridad, sino que también facilitan el cumplimiento de un marco regulatorio cada vez más exigente. Así, adoptar estos enfoques de ejecución de pruebas técnicas es una inversión necesaria para la resiliencia y continuidad del negocio, independientemente del sector en el que se ubique. Las organizaciones que reconozcan e implementen pruebas de Red Team como parte integral de su estrategia de seguridad estarán mejor posicionadas para enfrentar los desafíos de ciberseguridad futuros y mantener la confianza de sus clientes y reguladores.

Artículos relacionados