Hackear puede ser una mala palabra. Evoca imágenes de una persona sentada en la oscuridad con una sudadera con capucha negra, encorvada sobre un teclado, frente a varias pantallas, atacando en línea a un negocio o a personas inocentes. Genera automáticamente pensamientos sobre terribles ataques de ransomware y pandillas de delincuentes cibernéticos con nombres como Evil Corp.
Pero los ciberdelincuentes tienen un enemigo: los hackers éticos. Hackeamos empresas para mostrarles sus debilidades para que puedan corregirlas antes de que sean violadas.
Las empresas son conscientes de que los ciberataques aumentan un 50% año tras año. Con el gasto organizacional en seguridad cibernética en su punto más alto, las empresas están gastando cantidades significativas en su infraestructura de seguridad. A menudo me preguntan: ¿Cómo podemos saber que nuestra seguridad cibernética está funcionando de manera efectiva?
Mi consejo para las empresas es simple: invierta en una prueba de equipo rojo.
Red teaming es la práctica de simular un ataque cibernético de múltiples capas que prueba la efectividad de cada aspecto de la seguridad de una organización. En lugar de correr el riesgo de sufrir daños financieros y de reputación después de sufrir un ataque de ransomware, contrate a piratas informáticos éticos para simular un ataque y descubrir vulnerabilidades, de modo que puedan abordarse antes de que sea demasiado tarde.
“La única forma real en que puede determinar la efectividad de su seguridad es siendo pirateado. Las pruebas de equipos rojos emplean métodos tanto virtuales como físicos para detectar debilidades, exactamente como lo haría un ciberdelincuente”.
Rob Shapland, falanx cibernético
Los ataques cibernéticos, como cuando se vulneró Revolut en septiembre de 2022, revelando datos confidenciales de 50,000 clientes, se pueden haber evitado con una prueba de equipo rojo que habría identificado la amenaza que la ingeniería social representaba para el equipo.
Para que una empresa se ponga a prueba, debe probarse a través de ataques activos y proactivos de sus sistemas virtuales y físicos, utilizando las mismas tácticas, técnicas y procedimientos que los grupos ciberdelincuentes están utilizando en este momento. Mi equipo normalmente lleva a cabo una misión de equipo rojo en cinco pasos:
Siempre comenzamos con la recopilación de inteligencia de código abierto (OSINT). Al igual que con la primera etapa de cualquier operación, comenzamos un ataque investigando una empresa y sus empleados, recopilando información revelada sin darnos cuenta. Esto proviene de una variedad de fuentes con un enfoque en las páginas de redes sociales corporativas y del personal. Usamos esto para planificar nuestros ataques, tanto cibernéticos como físicos.
Luego, identificamos los sistemas de Internet que pueden haber sido configurados de manera insegura o que tienen páginas de inicio de sesión a las que podemos acceder usando credenciales robadas, como posibles puntos de acceso para ingresar a una organización.
Esto suele estar respaldado por ataques de phishing por correo electrónico y vishing por teléfono, dos técnicas de piratería, conocidas en conjunto como ingeniería social. Por teléfono, llamamos a los empleados para intentar que divulguen información confidencial de inicio de sesión. Luego, enviamos correos electrónicos de phishing utilizando información personal recopilada durante OSINT para engañar a los empleados para que revelen información confidencial, como su nombre de usuario y contraseña, o para abrir un archivo adjunto que nos permitiría ingresar a su computadora.
Por último, pero ciertamente no menos importante, está la intrusión física de sus instalaciones. Puede que le sorprenda saber que los ataques cibernéticos pueden ocurrir en persona. Esta es mi especialidad. Para simular esto, usamos varios trucos y disfraces para acceder a las oficinas de la organización para comprometer su red, plantar dispositivos registradores de pulsaciones de teclas o robar información valiosa justo debajo de las narices de la empresa. En la oficina de Falanx Cyber, tenemos un guardarropa lleno de disfraces, desde un plomero común hasta un uniforme de cartero, que usamos como disfraz para probar si la seguridad de una empresa permitirá que personas no autorizadas ingresen al edificio.
Todos estos pasos se combinan para permitirnos romper el perímetro y acceder a la red interna de la organización. Cuando encontremos una ruta exitosa, intentaremos escalar nuestros privilegios para obtener acceso a datos confidenciales a los que se dirigiría un ciberdelincuente. El proceso culmina en un informe estratégico, que detalla las debilidades identificadas y recomendaciones para fortalecer las defensas de una organización.
Los ejercicios de Red Teaming brindan una visión integral de casi cualquier táctica, vulnerabilidad o punto de entrada que los ciberdelincuentes puedan usar para violar sus sistemas. Sin uno, las empresas nunca sabrán qué tan seguros son sus sistemas.
Dado que casi el 90 % de los ataques se deben a errores humanos, es importante probar las capacidades de ciberdefensa de sus empleados. Y a diferencia de una prueba de penetración simulada, el personal no sabe que se está llevando a cabo una misión de equipo rojo contra ellos, casi como un comprador misterioso. Realmente es la mejor manera de mejorar la seguridad general, con la ventaja de revitalizar el compromiso de su personal con la seguridad cibernética al ponerlos a prueba.
Escuchar esto puede ser inquietante, pero la única forma real de determinar la efectividad de su seguridad es siendo pirateado. Las pruebas de equipos rojos emplean métodos virtuales y físicos para detectar debilidades, exactamente como lo haría un ciberdelincuente. El conocimiento es poder. Descubra cuáles son sus debilidades para que pueda implementar las protecciones defensivas y ofensivas para mitigarlas.
