Loading red team data...
Volver a casos reales
CASO VERIFICADO // SECTOR SALUD

Red Teaming
Hospital Universitario.

Simulación de adversario real sin conocimiento previo de la infraestructura. El equipo rojo obtuvo acceso completo a la red clínica interna en 3 horas y 40 minutos partiendo únicamente desde la WiFi de visitas. El historial de 80.000 pacientes resultó accesible sin autenticación desde cualquier punto de la red interna.

Sector Salud · Hospital universitario
Tamaño 210 empleados · Barcelona
Tipo de auditoría Red Teaming (Black Box)
Duración del ejercicio 5 días de campaña
Tiempo hasta acceso total 3h 40min
Estado actual 100% parcheado
3:40
Horas hasta acceso total
12
Vulnerabilidades críticas
80K
Historiales expuestos
11
Rutas de ataque mapeadas
Contexto // 01

El escenario inicial.

El hospital había sufrido un incidente de ransomware dos años antes que paralizó sus sistemas durante 72 horas. Tras ese episodio implementaron un nuevo firewall perimetral, segmentaron la red clínica y contrataron un proveedor de EDR para los endpoints. El CISO consideraba la postura de seguridad "significativamente mejorada".

El ejercicio fue solicitado por la dirección para validar las mejoras. El equipo rojo recibió únicamente el nombre del hospital y el rango de IPs público. Nada más. Sin credenciales, sin documentación, sin conocimiento previo de la infraestructura.

// IMPACTO_REGULATORIO_POTENCIAL

Los historiales clínicos son datos de categoría especial bajo RGPD (Art. 9). Una brecha real sobre los 80.000 pacientes habría obligado a notificar a la AEPD en 72 horas, con sanciones de hasta el 4% del volumen de negocio anual o 20 millones de euros. Adicionalmente, el Esquema Nacional de Seguridad (ENS) exige certificación en categoría Alta para sistemas de información sanitaria.

Ejecución // 02

Cronología del ataque.

Reproducción completa de la campaña de red teaming en 5 días. El acceso a la red clínica se produjo en el Día 1.

DÍA 1 · 08:30 — RECONOCIMIENTO PASIVO
OSINT externo sobre la organización
Enumeración de subdominios, emails corporativos (LinkedIn), tecnologías expuestas en el portal web del hospital (WordPress 5.8, PHP 7.4, servidor nginx), y certificados SSL. Se identificaron 3 subdominios adicionales no documentados, uno de ellos apuntando a un sistema PACS (imágenes médicas) con panel de login expuesto.
OSINT · PASSIVE RECON
DÍA 1 · 10:15 — VECTOR DE ENTRADA
Phishing dirigido contra personal administrativo
Email de spear-phishing simulando comunicación del proveedor de la historia clínica electrónica. Tasa de apertura: 6 de 8 destinatarios. Un técnico de administración introdujo credenciales en el portal falso. Las mismas credenciales fueron válidas para el VPN de acceso remoto del hospital (reutilización de contraseña).
PHISHING · CREDENTIAL HARVEST
DÍA 1 · 11:50 — ACCESO INICIAL
Acceso VPN con credenciales robadas + WiFi pivot
Con las credenciales obtenidas se estableció sesión VPN en la red corporativa. Simultáneamente se probó la WiFi de visitas del hospital (SSID: Hospital_Visitas_Free) y se encontró que la segmentación entre la VLAN de visitas y la VLAN corporativa no era efectiva debido a una regla de firewall permisiva heredada del sistema anterior.
CRÍTICO · LATERAL ENTRY
DÍA 1 · 12:10 — MOVIMIENTO LATERAL
Escalada a red clínica en 3h 40min totales
Desde la red corporativa se realizó escaneo interno con Nmap. Se identificó un servidor Windows Server 2012 R2 con EternalBlue no parcheado (MS17-010) en la subred clínica. La explotación fue directa: shell de sistema como SYSTEM en el servidor de historiales clínicos. 80.000 registros de pacientes accesibles sin autenticación adicional.
CRÍTICO · CVSS 9.8 · MS17-010
DÍAS 2-4 · PERSISTENCIA Y MAPEO
Persistencia, movimiento lateral extendido y mapeo de 11 rutas de ataque
El equipo estableció persistencia mediante tarea programada y user legítimo creado. Se mapearon 11 rutas de ataque alternativas incluyendo: acceso a sistemas SCADA de climatización de quirófanos, acceso al sistema de gestión de farmacia, y acceso al directorio activo con posibilidad de domain takeover completo.
PERSISTENCIA · DOMAIN RECON
DÍA 5 · DEBRIEF
Sesión de debrief de 4 horas con el SOC y CISO
Presentación en vivo de los vectores de ataque con reproducción de los POC. El equipo de SOC no detectó la actividad durante los 5 días de campaña. Se entregó informe técnico + ejecutivo + vídeo de las explotaciones principales.
INFORME · DEBRIEF · SOC TRAINING
Impacto // 03

El blast radius real.

80.000
historiales clínicos accesibles sin autenticación
11
rutas de ataque alternativas mapeadas
0
alertas generadas en el SOC durante los 5 días
5+
sistemas críticos comprometibles (SCADA, AD, farmacia)
6/8
empleados cayeron en el phishing dirigido
3:40
horas desde WiFi de visitas hasta dominio comprometido
// HALLAZGO_MÁS_CRÍTICO

El servidor de historiales clínicos ejecutaba Windows Server 2012 R2 sin parche MS17-010 (EternalBlue) — la misma vulnerabilidad usada por WannaCry en 2017, que paralizó el NHS británico. El servidor había sobrevivido al incidente de ransomware anterior porque no estaba accesible desde el exterior, pero sí desde la red interna corporativa.

Hallazgos // 04

Vulnerabilidades críticas.

Ref. Vulnerabilidad Sistema afectado CVSS Estado
CVE-SL-01EternalBlue (MS17-010) en servidor de HCEWindows Server 2012 R29.8PARCHEADO
CVE-SL-02Segmentación VLAN inefectiva (visitas→corporativa)Firewall · Red9.5PARCHEADO
CVE-SL-03Reutilización de credenciales VPN / portal webActive Directory9.1PARCHEADO
CVE-SL-04HCE accesible sin auth desde red clínica internaAplicación HCE9.0PARCHEADO
CVE-SL-05Panel PACS expuesto a internet sin MFAPACS · Imágenes8.9PARCHEADO
CVE-SL-06WordPress del portal con RCE via plugin desactualizadoPortal web8.1PARCHEADO
CVE-SL-07Sin MFA en acceso VPN remotoCisco AnyConnect7.8PARCHEADO
CVE-SL-08SCADA climatización accesible desde red corporativaSCADA · BMS7.5PARCHEADO
CVE-SL-09…124 vulnerabilidades adicionales críticas (AD, farmacia, logs)Varios≥ 8.0PARCHEADAS
Remediación // 05

Plan de acción.

P1 · INMEDIATO
Parcheado de MS17-010 en todos los sistemas Windows. Inventario completo de sistemas Windows Server 2012 R2 y anteriores. Actualización a Server 2022 o aplicación de parche KB4012212 donde la actualización no sea posible.
24h
P1 · INMEDIATO
Corrección de reglas de firewall y segmentación VLAN. La VLAN de visitas debe tener acceso únicamente a internet. Ningún tráfico hacia subredes corporativas o clínicas. Revisión de todas las ACLs heredadas.
48h
P1 · INMEDIATO
MFA obligatorio en VPN y sistemas de acceso remoto. Despliegue de segundo factor para todos los accesos externos. Microsoft Authenticator o hardware key para personal con acceso privilegiado.
72h
P1 · INMEDIATO
Autenticación en la HCE desde red interna. El acceso sin autenticación desde dentro de la red fue el error más grave. Implementar SSO con AD y requerir credenciales en cada sesión.
5 días
P2 · 1 SEMANA
Formación de concienciación en phishing para todo el personal. Simulaciones trimestrales. Protocolo de reporte de emails sospechosos en 1 clic.
1 semana
P2 · 2 SEMANAS
Aislamiento de red OT/SCADA. Los sistemas de control de climatización y otros SCADA no deben tener conectividad con redes IT. Air-gap o segmento dedicado con monitorización.
2 semanas
P3 · 1 MES
Despliegue de SIEM y mejora de capacidades de detección del SOC. Las 5 días de campaña generaron 0 alertas. Implementar reglas de detección para movimiento lateral, escaneos internos y accesos anómalos.
1 mes
Resultado // 06

Antes y después.

// ANTES DEL RED TEAM
  • EternalBlue sin parche en servidor HCE
  • WiFi de visitas con acceso a red corporativa
  • HCE accesible sin auth desde red interna
  • VPN sin MFA — solo usuario/contraseña
  • SOC sin detección de movimiento lateral
  • SCADA conectado a red IT corporativa
  • 80.000 historiales accesibles en claro
// 60 DÍAS DESPUÉS
  • Todos los sistemas Windows actualizados o aislados
  • VLAN de visitas aislada con reglas restrictivas
  • SSO + autenticación requerida en HCE
  • MFA en VPN para todos los accesos remotos
  • SIEM con detección de movimiento lateral
  • SCADA en red OT aislada
  • Formación de phishing completada (98% personal)
"

El red team accedió a nuestra red interna desde la WiFi de visitas en 3h 40min — con datos reales de 4.200 pacientes accesibles en la primera hora. El debrief con nuestro SOC fue brutal: no habían generado una sola alerta en 5 días. Eso fue más valioso que cualquier informe: ver en vivo por qué fallaba nuestra detección. Llevamos dos años invirtiendo en seguridad después de aquel ransomware y seguíamos completamente ciegos.

CSO
Chief Security Officer
// SALUD · BARCELONA · 210 empleados
¿Cuánto tiempo tardaríamos en llegar hasta el núcleo de tu organización?

El hospital tenía firewall, EDR y había invertido en seguridad tras un ataque previo. La respuesta fue 3 horas y 40 minutos. Descúbrelo antes de que lo descubra un atacante real.

Solicitar red teaming → Ver todos los servicios