La estrategia del Equipo Rojo: usa al enemigo para vencer al enemigo

En 2015, un investigador de seguridad llegó a las oficinas de una empresa de servicios financieros en Ciudad de México. Llevaba un uniforme de técnico de telecomunicaciones, una caja de herramientas y una orden de trabajo impresa. En la recepción, dijo que venía a revisar la conexión de internet del piso tres.

La recepcionista llamó al área de sistemas. Nadie contestó. Llamó al supervisor de turno. Tampoco. Después de tres minutos de espera, le dio acceso al edificio.

El investigador pasó cuarenta minutos en el piso tres. Conectó tres dispositivos a la red. Tomó fotografías de los servidores. Salió sin ser cuestionado.

Era una prueba de penetración física contratada por la empresa. El resultado fue un reporte de dieciséis páginas de vulnerabilidades que ninguna auditoría de cumplimiento había detectado.

Qué es un Equipo Rojo

El concepto de Red Team —Equipo Rojo— viene de la terminología militar, donde se usaba para designar al grupo que simulaba ser el adversario en ejercicios de entrenamiento. En seguridad corporativa, un Equipo Rojo es un grupo —interno o externo— que intenta activamente comprometer los sistemas de seguridad de la organización usando las mismas técnicas que usaría un adversario real.

La diferencia fundamental con una auditoría de cumplimiento es el punto de partida. La auditoría pregunta: "¿existen los controles?" El Equipo Rojo pregunta: "¿funcionan los controles cuando alguien intenta activamente evadirlos?"

Los tres tipos de ejercicio de Equipo Rojo

Ingeniería social

Pruebas de phishing, pretexting (como el instalador de internet), vishing (llamadas telefónicas fraudulentas) y otras técnicas que explotan el factor humano en lugar de las vulnerabilidades técnicas. Estas pruebas son especialmente valiosas porque revelan la brecha entre lo que el personal dice que haría y lo que realmente hace bajo presión.

Penetración física

Intentos de acceso no autorizado a instalaciones, áreas restringidas o activos físicos. Incluye tailgating, uso de uniformes o credenciales falsas, y explotación de puntos ciegos en los sistemas de vigilancia. Revela vulnerabilidades que los planos de seguridad no muestran.

Simulaciones de proceso

Pruebas de los procesos operativos para identificar puntos donde el fraude interno sería posible sin detección. Incluye intentos de manipular registros, evadir controles de aprobación o explotar brechas en la cadena de custodia.

Por qué la mayoría de las organizaciones no lo hace

El ejercicio de Equipo Rojo genera incomodidad institucional. Revelar que el guardia dejó pasar al "instalador de internet" es incómodo para el área de seguridad. Revelar que el proceso de aprobación tiene una brecha explotable es incómodo para el área de operaciones. Revelar que el personal hace clic en correos de phishing es incómodo para recursos humanos.

Esa incomodidad es exactamente el valor del ejercicio. Lo que es incómodo de saber antes del incidente es catastrófico de descubrir después.

• ▸Realiza al menos un ejercicio de Equipo Rojo al año en los puntos de mayor riesgo.
• ▸Incluye pruebas de ingeniería social, penetración física y simulaciones de proceso.
• ▸Trata los hallazgos como información, no como evidencia de incompetencia.
• ▸Cierra el ciclo: cada hallazgo debe generar un rediseño específico del control.
• ▸Repite la prueba después del rediseño para verificar que la vulnerabilidad fue realmente cerrada.

No confíes en la tecnología por sí sola. Si no auditas tu propia vulnerabilidad pensando y actuando como el adversario, la delincuencia lo hará por ti. Y no te avisará antes.