Uno de los secretos mejor guardados en el sector de la ciberseguridad es la actividad que día a día realizan en sus empresas los equipos rojos, los Red Team. 

Este es el nombre por el que se conoce los departamentos de hackers dispuestos a atacar a sus propias empresas o instituciones. Su propósito no es robarle información confidencial a sus jefes —aunque bien podrían—, sino detectar las vulnerabilidades que podrían ser explotadas por atacantes reales.

Cuando una gran empresa se toma en serio la ciberseguridad, es habitual encontrar en su organigrama a gente formando parte de un Red Team e incluso a gente formando parte de sus antagonistas, los Blue Team: todo el departamento encargado de responder a incidencias. Incluso la multinacional española Telefónica cuenta con sus Red y Blue Teams.

En la serie documental Hacking Google, la multinacional del buscador compara la aparición de estos Red Team con la necesidad que tuvo la industria del automóvil en los 50 del siglo pasado de empezar a estudiar los accidentes de tráfico para mejorar los coches que fabricaban.

En ese sentido, Daniel Fabian es el fundador y el máximo responsable a nivel internacional del Red Team de Google, que como te puedes imaginar cuenta con una amplia estructura: sus ejercicios ofensivos tienen la necesidad de tener activos y en alerta todas las defensas del sinfín de plataformas y servicios que conforman el ecosistema Google.

Fabian, que estuvo hace unos días en Málaga para celebrar la inauguración del nuevo centro de excelencia en ciberseguridad de la compañía en la ciudad andaluza, es el máximo responsable de ese Red Team. Pero el rol con el que se bautizó en el organigrama del gigante tecnológico es bastante más peliculero.

Se define como el Staff Digital Arsonist de Google: el pirómano de la compañía. Al final, el trabajo de un Red Team es «provocar incendios», como el propio Fabian reconoce en esa serie documental.

Pero la aparición de los Red Team no se circunscriben ni únicamente a la industria digital ni tampoco a las grandes multinacionales. En una entrevista con Business Insider España, Fabian detalla que cualquier compañía puede activar algunos recursos para comprobar mediante acciones ofensivas su capacidad de reacción defensiva. E incluso se anima a dar algunos consejos para hacerlo.

«Creo que depende del tamaño de la compañía. Si se trata de una pequeña empresa, es perfectamente válido empezar con pequeños recursos«, apunta.

«No creo que las empresas tengan que salir ahí fuera y empezar a contratar hackers para configurar estos equipos: es perfectamente válido tener a unas cuantas personas dedicándose a la seguridad y que esas mismas personas hagan ejercicios de Red Team en parte de su tiempo».

Por ejemplo, a Fabian le parece razonable que el equipo de ciberseguridad de una empresa se dedique a hacer algunos ejercicios de red teaming «al menos una vez al año, quizá durante unas semanas o durante un mes», «y en esos ejercicios intentar explorar la superficie de ataque con la perspectiva que tendría un atacante».

Los resultados que esos profesionales obtengan de sus ejercicios ayudaría a su empresa o institución a tener «buenos indicadores sobre dónde tendría más sentido invertir más y quizá ampliar el equipo, o incluso crear un equipo de Red Team permanente».

«Pero creo que es importante tener claro que hacer esos ejercicios de red teaming tienen sentido cuando las defensas de una organización están en buena forma: si la ciberseguridad no ha sido una prioridad, contratar un Red Team lo único que te va a enseñar es cuál es la situación», continúa.

«Y digo esto como parte de un Red Team: primero hay que invertir en defensa y en tener una buena capacidad de detección de incidentes antes de empezar a hacer uso de un Red Team para ponerse a examen», zanja.

Por supuesto, hacer red teaming en una gran multinacional como Google tiene sus ventajas, que el propio Daniel Fabian reconoce. El pirómano del gigante del buscador recuerda que en la compañía hay una cultura blameless, es decir, a la hora de experimentar o desarrollar estrategias ofensivas para atacar a la compañía no se lanzan reproches ni llegan broncas posteriores.

Eso lo enfatiza Fabian cuando se le pregunta si alguna vez alguna de sus víctimas se han molestado por sus ejercicios.

Esa política de cero reproches también va por el lado de los posibles responsables de esas vulnerabilidades. «Cuando realizamos nuestros ejercicios y llamamos a personal para comprobar qué ha fallado, a menudo nos aseguramos de evitar dar nombres o de señalar a nadie, porque a la hora de conseguir que alguien caiga en nuestros trucos la cosa no va de nadie en concreto», señala.

Esto es porque los ataques pueden sufrirlos «cualquier persona».

Alberto R. Aguiar

Deja una respuesta