Contáctenos

Cuando los equipos rojos descubren lo inimaginable

Ciberseguridad

Cuando los equipos rojos descubren lo inimaginable

mm
Publicado

Muchas organizaciones creen que están seguras… hasta que un equipo rojo demuestra lo contrario.

En mis 28 años de experiencia en seguridad ofensiva, he visto de primera mano la rapidez con la que se desmorona la confianza cuando se aplican tácticas adversarias del mundo real a las defensas corporativas. Las operaciones de equipo rojo no solo ponen a prueba los sistemas; amplían los límites de acceso alcanzables desde la perspectiva de un adversario decidido y sofisticado. A menudo, las reglas de intervención son más amplias, permitiendo no solo ataques del lado del servidor, sino también ingeniería social, técnicas inalámbricas e incluso físicas. Lo que a menudo descubrimos en nuestras operaciones es que son posibles niveles catastróficos de acceso.

Mi equipo y yo hemos ganado puntos de apoyo en la red y privilegios aumentados para acceder e incluso controlar altos hornos comerciales, infraestructura de firma de código de conductores, sistemas de nómina, IP confidencial, sistemas host bancarios, sistemas de CCTV, bandejas de entrada de directores financieros, resultados de máquinas de resonancia magnética y rayos X, archivos compartidos llenos de PHI, archivos enumerables interesantes, 2nd hogares de directores ejecutivos que estaban vinculados mediante VPN a redes corporativas y volcados de hash completos de muchos, muchos bosques de Active Directory.

Hemos migrado a redes locales tras comprometer recursos en la nube, y hemos visto cómo nuestras operaciones se han trasladado de instalaciones locales a la nube. A veces, cuanto mayor sea el objetivo, más fácil es atacar, independientemente del presupuesto de seguridad de la información. Esto se debe a la asimetría natural entre atacantes y defensores. Una mayor escala implica más oportunidades para que se expongan vulnerabilidades involuntariamente. Estos no son riesgos teóricos. Son reales, y hay más organizaciones vulnerables a este nivel de vulnerabilidad de las que creen.

Puntos de apoyo

Las infracciones externas comienzan con un punto de apoyo, un punto de acceso inicial que da paso a una vulneración más profunda. En nuestro trabajo, clasificamos los puntos de apoyo en cuatro tipos principales:

1. Ingeniería social

Aunque es común, lo consideramos el menos gratificante. Engañar a los usuarios para que hagan clic en enlaces o revelen sus credenciales es efectivo, pero no refleja la habilidad de un adversario sofisticado. Aun así, hemos visto... Los atacantes falsifican correos electrónicos de los directores financieros para iniciar transferencias bancarias de “emergencia” o utilizar clones de voz generados por IA para eludir los protocolos de la mesa de ayuda.

2. Pulverización de contraseña

Esta técnica lenta y suave sigue siendo una de las más efectivas. adivinar contraseñas comunes En grandes listas de usuarios, los atacantes evitan los bloqueos y suelen tener éxito. Hemos vulnerado redes usando simplemente "Summer2025!" en miles de nombres de usuario extraídos de fuentes públicas. Calculo que más de 1 de cada 1000 usuarios corporativos lo elegirían a menos que exista una restricción de palabras prohibidas, bloqueando cadenas como "summer", "2025" y "25". Para una política de contraseñas más extensa, creo que usaría "Summertime2025!" como ejemplo.

3. Debilidades de MFA

Autenticación de múltiples factores Es esencial, pero no infalible. Como en todos los controles de seguridad, una implementación exhaustiva y consistente es clave. Hemos sorteado la autenticación multifactor (MFA) mediante la fatiga de envíos, vulnerabilidades de acceso condicional y enlaces de registro obsoletos. En un caso, registramos nuestro propio dispositivo con un enlace de seis meses de antigüedad encontrado en una bandeja de entrada comprometida.

4. Vulnerabilidades explotables

Las aplicaciones web personalizadas son especialmente vulnerables. Hemos explotado todo, desde inyección SQL Desde el recorrido de rutas hasta errores de deserialización de objetos y fallos lógicos que permiten a los usuarios básicos establecer su propio precio al finalizar la compra o acceder al acceso de administrador. Los componentes de software comercial obsoletos pueden incluso provocar la ejecución remota de código si no se aplican parches.

Verificación de la realidad: Cumplimiento vs. Exposición

Las auditorías de seguridad suelen presentar un panorama optimista. Pero los equipos rojos operan fuera del guion. Las reglas de intervención en las operaciones de los equipos rojos suelen ser mucho más amplias que las pruebas de penetración estándar: simulamos adversarios con objetivos precisos.

En muchos casos, los clientes cuentan con numerosos informes de penetración anteriores de diversas empresas, con poca o ninguna demostración de penetración. No es raro que corrijamos esta percepción logrando niveles significativos de acceso mediante pruebas de penetración externas, básicas y sin autenticación. La diferencia entre el riesgo percibido y el real puede ser enorme. Las pruebas de penetración de calidad y orientadas a la cobertura son más valiosas que las operaciones de equipo rojo basadas en objetivos para organizaciones con estrategias de seguridad menos consolidadas.

El papel de la IA en la seguridad ofensiva

Si bien la IA aún no ha reemplazado el ingenio humano en la gestión de equipos rojos, sí está acelerando nuestros flujos de trabajo. Utilizamos IA generativa para desarrollar exploits de prueba de concepto con mayor rapidez, analizar superficies de ataque, simular voces durante operaciones de vishing e incluso crear campañas de phishing que parecen auténticas. El auge de la IA ofensiva con agentes, que alcanza los primeros puestos en las listas públicas de recompensas por errores, es un presagio de lo que se avecina.

Empatía por los defensores

A pesar de nuestro rol ofensivo, respetamos profundamente a los defensores. La asimetría es real: los defensores deben ser impecables las 24 horas del día, los 7 días de la semana; los atacantes solo necesitan un error. Por eso, nuestros informes no se limitan a destacar vulnerabilidades, cadenas de cierre, capturas de pantalla e impacto real; en la parte superior de nuestro resumen ejecutivo se incluyen las prácticas positivas que detectamos durante las pruebas. Disfrutamos escribiendo esto más que los hallazgos en sí. Estamos en su equipo para educar y remediar, no para exponer.

Conclusión: Lo inimaginable a menudo está justo delante de ti

Los equipos rojos no solo detectan fallas, sino que obligan a las organizaciones a afrontar realidades incómodas. La fachada de seguridad a menudo esconde sistemas frágiles, configuraciones incorrectas y riesgos descuidados. Y cuando descubrimos lo inimaginable, no es para criticar, sino para fortalecer.

Porque en ciberseguridad, las comprobaciones de la realidad no son opcionales. Son lo único que separa la "seguridad en el papel" de una filtración en primera plana.

Temas relacionados:
mm

Jake Reynolds es Director de Servicios de Seguridad Ofensiva en Todo CubiertoCon más de 28 años de experiencia en pruebas de penetración y estrategia de ciberseguridad, Jake lidera un equipo de élite de equipos rojos especializados en descubrir vulnerabilidades reales. Es un ponente frecuente sobre tácticas adversarias y ha ayudado a cientos de organizaciones a replantear su estrategia de seguridad.