¿En qué se diferencia un ejercicio de red team de una prueba de penetración?
Respuesta breve
Un pentest busca cobertura amplia — encontrar tantas vulnerabilidades como sea posible en un objetivo delimitado. Un red team es emulación de adversario dirigida por objetivos: elegir una meta (p. ej. alcanzar los datos más valiosos), emular los TTP de un actor de amenaza concreto, mantenerse sigiloso para probar la detección y la respuesta, y evitar el escaneo ruidoso. El red teaming mide al equipo azul y a toda la organización, no solo al activo; ambos requieren reglas de enfrentamiento estrictas y autorización.
Confundir un red team con un pentest es un clásico delator de junior. Comparten herramientas pero responden a preguntas distintas, y los entrevistadores hacen esta pregunta para ver si entiendes el propósito detrás de la metodología y no solo los exploits.
La diferencia central: cobertura frente a objetivo
Una prueba de penetración optimiza la cobertura — dentro de un alcance definido, enumerar y validar tantas vulnerabilidades como sea posible y reportarlas todas. El ruido no es problema; el equipo azul normalmente sabe que está ocurriendo.
Un ejercicio de red team es emulación de adversario dirigida por objetivos. Eliges una meta concreta alineada con el riesgo de negocio — exfiltrar la base de datos de clientes, obtener domain admin, alcanzar el sistema de pagos — y emulas el oficio de un actor de amenaza relevante (a menudo asociado a los TTP de MITRE ATT&CK) para lograrla. Algo crucial: estás probando la detección y respuesta de la organización, así que el sigilo importa; un escaneo de vulnerabilidades ruidoso arruinaría el propósito.
Metodología de red team
Sigue la kill chain: reconocimiento, acceso inicial (a menudo phishing o explotación externa), establecer C2, escalada de privilegios, movimiento lateral y acciones sobre el objetivo — todo minimizando la huella detectable. La medida del éxito no es «cuántos bugs» sino «¿alcanzaron el objetivo y lo vio el equipo azul?».
Reglas de enfrentamiento
Ambos requieren autorización por escrito, pero las ROE de red team son más estrictas: objetivos explícitos, sistemas y técnicas vetados, horarios, un canal de desconflicción para que el equipo azul pueda confirmar «¿sois vosotros?», y una carta get-out-of-jail llevada durante cualquier actividad física o de ingeniería social. El realismo nunca significa omitir la autorización.
Cuándo elegir cada uno
Recomienda un pentest cuando la organización quiere encontrar y corregir muchas vulnerabilidades, o está en una fase temprana de madurez. Recomienda un red team cuando dispone de un programa de seguridad en funcionamiento y quiere comprobar si sus personas, procesos y detección realmente detienen a un adversario determinado.
Qué buscan los entrevistadores
Quieren el enfoque cobertura frente a objetivo, conciencia del sigilo y la prueba de detección, la emulación basada en MITRE ATT&CK, y la madurez de insistir en la autorización y la desconflicción.
Posibles preguntas de seguimiento
- ¿Qué debe especificar un documento de reglas de enfrentamiento de red team que el de un pentest podría no incluir?
- ¿Qué es un proceso de desconflicción o «get-out-of-jail» y por qué lo necesitas?
- ¿Cuándo recomendarías un pentest en lugar de un red team a un cliente?