Tres equipos, tres colores: los bandos del testeo en ciberseguridad

Rojo, azul y morado

Últimamente nos ha dado por encadenar varios post seguidos sobre ciberseguridad, sin que estuviera planificado. Lo que ya llevábamos más tiempo olvidado era lo de mostraros post con una vocación principalmente divulgativa, como hacíamos antes con algo más de frecuencia. Así pues, hoy vamos a aunar ambos aspectos, aunque quizá no tanto como para que el divulgativo nos de para un próximo examen del Pulpo.

Si las dos entradas anteriores del blog trataban sobre cuestiones que atañen principalmente a la seguridad de usuarios domésticos, en esta ocasión vamos a adentrarnos en el terreno profesional, en cómo los equipos dedicados a la ciberseguridad prueban la protección frente a las ciberamenazas. Y precisamente sobre equipos va la cosa, con una metodología utilizada en este sector que utiliza una denominación que, haciendo honor al nombre de este blog en el que escribo, yo personalmente desconocía hasta que nos ha llegado este artículo.

Y es que resulta que, con el objeto de estar preparados para que la defensa contra ciberataques y demás sea efectiva, los profesionales de la ciberseguridad se dividen en tres equipos con diferentes funciones de testeo, y cada uno de ellos se identifica con un color. De esta manera, tenemos el blue team, el red team y el purple team.

Aquí es cuando llega la vocación cómica del blog, por supuesto, y sin ánimo de faltar a tan respetable y fundamental sector de la informática. Porque claro, esto de los equipos identificados con colores (aun siendo solo tres) lleva inevitablemente a evocar cosas. La primera sería lo de las fichas del parchís, y la inevitable referencia al inolvidable grupo musical asociado a tan mítico juego de mesa (y desesperante, para gusto de un servidor… tanto el juego como el grupo).

Lo anterior no es asunto baladí, puesto que la identificación de equipos con colores que sintetiza el parchís es el epítome de la simbología en el mundo de las competiciones, y en cierto modo estos tres equipos de ciberseguridad más o menos simulan una especie de competición: A ver si te infecto los equipos informáticos; a ver si yo me defiendo de tu ciberataque, etc. Será un asunto serio, pero yo no puedo evitar  imaginarlo muy en plan competición de hackers friquis, lo siento: Ahí todos con sus camisetas rojas, azules o moradas, cual hinchas de fútbol con las equipaciones de sus clubes…

Pero como hoy en día lo de las competiciones va mucho más allá del ámbito deportivo y lo inunda todo, voy a procurar no seguir imaginando más casos, porque como me dé por entrar en, por ejemplo, la polarizada política, y alguien se ponga a asociar lo de los equipos rojos, azules y morados con sus equivalentes en ese ámbito, nos estaríamos metiendo en un jardín tal vez peligroso. Así que doy paso ya a la parte divulgativa, que es a lo que habíamos venido, y os dejo con el artículo:

 

Los ciberataques más comunes: Red team, Blue team y Purple team

red_blue_purple

El aumento de ciberataques es causado por la rápida implantación al mundo digital de muchas empresas que se han visto forzadas a realizar el cambio a causa de la pandemia y la incorporación del teletrabajo, ya que muchas compañías no estaban preparadas.

Por este motivo, la implementación de la ciberseguridad en la actualidad considera tan importante y es necesario estar preparado para cada una de las posibles situaciones que puedan ocurrir. Para abordar este tema, es importante tener claro que en el mundo de la ciberseguridad, distinguimos diferentes equipos: el blue team, el red team y el purple team. Cada uno tiene una función diferente y se usan para evaluar y analizar posibles fallos en el sistema.

RED TEAM

El Red team es el que nombramos seguridad ofensiva y está formado por profesionales que actúan como adversarios para superar los controles de ciberseguridad. Se encarga de poner a prueba el blue team buscando vulnerabilidades. El Red team ataca el sistema de manera radical para probar la eficacia del programa de seguridad, con un ataque que no es avisado para que la defensa sea con máxima objetividad y se pueda ver cómo sería un ataque real. Los ataques realizados pueden ser internos de la propia empresa o puede ser de una empresa externa. Los equipos suelen estar formados por hackers éticos que evalúan la seguridad de manera objetiva.

La eficacia del red team cae en comprobar de manera constante la posibilidad de que, alguien externo a la empresa, pueda llegar a tener acceso a los sistemas y pueda modificarlos.

BLUE TEAM

El Blue Team es el que nombramos seguridad defensiva y está formado por profesionales que se encargan de proteger activos críticos de la organización contra cualquier amenaza. Se encarga de defender de manera proactiva ataques reales y programados por el Red Team. Su principal objetivo es analizar patrones y comportamientos que salen de lo común, aunque también se encarga de realizar evaluaciones de las distintas amenazas que pueden afectar a la organización, monitorear y recomendar planes de actuación para mitigar los posibles riesgos. Para prevenir los ataques crean una base de datos con un abanico de posibles casos de uso.

La comunicación entre el red team y el blue team es el factor más importante para la realización de ejercicios exitosos y para la mejora constante del sistema.

PURPLE TEAM

El purple team existe para analizar y maximizar la efectividad del Red y Blue team. Este team se encarga de enfrentar las técnicas de defensa del Blue team contra las técnicas de ataque del Red team. Con este enfrentamiento se logra crear más posibles casos de fallo o ataque y ver si el sistema está funcionando o está preparado de manera correcta. Si la defensa en el enfrentamiento es positiva se integran los nuevos baremos o actualizaciones pertinentes. La idea del purple team es coordinar y garantizar que los dos equipos compartan información sobre las vulnerabilidades del sistema para lograr una mejora constante.