Skip to content

¿En qué se diferencia un ejercicio de red team de una prueba de penetración?

Respuesta breve

Un pentest busca cobertura amplia — encontrar tantas vulnerabilidades como sea posible en un objetivo delimitado. Un red team es emulación de adversario dirigida por objetivos: elegir una meta (p. ej. alcanzar los datos más valiosos), emular los TTP de un actor de amenaza concreto, mantenerse sigiloso para probar la detección y la respuesta, y evitar el escaneo ruidoso. El red teaming mide al equipo azul y a toda la organización, no solo al activo; ambos requieren reglas de enfrentamiento estrictas y autorización.

Confundir un red team con un pentest es un clásico delator de junior. Comparten herramientas pero responden a preguntas distintas, y los entrevistadores hacen esta pregunta para ver si entiendes el propósito detrás de la metodología y no solo los exploits.

La diferencia central: cobertura frente a objetivo

Una prueba de penetración optimiza la cobertura — dentro de un alcance definido, enumerar y validar tantas vulnerabilidades como sea posible y reportarlas todas. El ruido no es problema; el equipo azul normalmente sabe que está ocurriendo.

Un ejercicio de red team es emulación de adversario dirigida por objetivos. Eliges una meta concreta alineada con el riesgo de negocio — exfiltrar la base de datos de clientes, obtener domain admin, alcanzar el sistema de pagos — y emulas el oficio de un actor de amenaza relevante (a menudo asociado a los TTP de MITRE ATT&CK) para lograrla. Algo crucial: estás probando la detección y respuesta de la organización, así que el sigilo importa; un escaneo de vulnerabilidades ruidoso arruinaría el propósito.

Metodología de red team

Sigue la kill chain: reconocimiento, acceso inicial (a menudo phishing o explotación externa), establecer C2, escalada de privilegios, movimiento lateral y acciones sobre el objetivo — todo minimizando la huella detectable. La medida del éxito no es «cuántos bugs» sino «¿alcanzaron el objetivo y lo vio el equipo azul?».

Reglas de enfrentamiento

Ambos requieren autorización por escrito, pero las ROE de red team son más estrictas: objetivos explícitos, sistemas y técnicas vetados, horarios, un canal de desconflicción para que el equipo azul pueda confirmar «¿sois vosotros?», y una carta get-out-of-jail llevada durante cualquier actividad física o de ingeniería social. El realismo nunca significa omitir la autorización.

Cuándo elegir cada uno

Recomienda un pentest cuando la organización quiere encontrar y corregir muchas vulnerabilidades, o está en una fase temprana de madurez. Recomienda un red team cuando dispone de un programa de seguridad en funcionamiento y quiere comprobar si sus personas, procesos y detección realmente detienen a un adversario determinado.

Qué buscan los entrevistadores

Quieren el enfoque cobertura frente a objetivo, conciencia del sigilo y la prueba de detección, la emulación basada en MITRE ATT&CK, y la madurez de insistir en la autorización y la desconflicción.

Posibles preguntas de seguimiento

  • ¿Qué debe especificar un documento de reglas de enfrentamiento de red team que el de un pentest podría no incluir?
  • ¿Qué es un proceso de desconflicción o «get-out-of-jail» y por qué lo necesitas?
  • ¿Cuándo recomendarías un pentest en lugar de un red team a un cliente?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.