Servicio // 03
Red
Teaming.
No simulamos un atacante. Somos el atacante. Desplegamos las mismas TTPs que usan los grupos APT para comprometer organizaciones reales: phishing dirigido, explotación de AD, movimiento lateral, persistencia y exfiltración silenciosa.
// FICHA DE SERVICIO
ModalidadBlack box / Assumed breach
Marco de referenciaMITRE ATT&CK + TIBER-EU
Duración media2–6 semanas
Objetivo primarioCrown Jewels / SOC detection
Informe
Narrativa ataque + MITRE map
Purple teamSesión disponible
NDAPrevio al briefing
3:40hTiempo medio acceso total (hospital)
0Alertas SOC generadas en campaña
100%Objetivos alcanzados en últimas 5 campañas
TIBER-EUMarco de referencia alineado
Campaña // 01
Fases de la Operación.
Una campaña de red team sigue la misma cadena de ataque que usaría un grupo APT real contra tu organización. Sin atajos, sin reglas artificiales.
Recopilación pasiva de inteligencia: empleados en LinkedIn, correos corporativos en brechas públicas (HaveIBeenPwned, Dehashed), tecnologías expuestas (Shodan, Censys), subdominios y DNS records, certificados SSL, GitHub/GitLab con secrets filtrados. Construimos un mapa de la organización desde la perspectiva del atacante antes de lanzar el primer paquete.
LinkedIn OSINTShodanDehashedtheHarvesterMaltegoGit secrets
Múltiples vectores de entrada simultáneos: phishing dirigido con pretexto específico para el sector y rol objetivo, vishing, smishing, explotación de servicios expuestos (VPN sin parchear, OWA, Citrix), ataques de contraseña sobre portales públicos con credenciales de brechas. Documentamos el vector que funciona primero y cuánto tiempo tardó.
Spear phishingVishingCVE explotaciónPassword sprayGoPhishEvilginx
Establecemos foothold persistente usando C2 frameworks con comunicaciones cifradas sobre HTTPS/DNS para evadir inspección de tráfico. Instalamos backdoors en ubicaciones no monitorizadas, creamos cuentas de servicio y modificamos ACLs de AD para mantener acceso incluso si el vector inicial es bloqueado. Testeamos si el EDR detecta nuestra presencia.
Cobalt Strike / SliverHTTPS C2DNS tunnelingWMI persistenceScheduled tasksEDR bypass
Enumeración de Active Directory (BloodHound), identificación de rutas de escalada de privilegios (Kerberoasting, AS-REP Roasting, Pass-the-Hash, DCSync). Pivotamos hacia sistemas críticos: DCs, servidores de backup, SIEM, bases de datos de producción, sistemas OT si aplica. Capturamos evidencia de acceso sin exfiltrar datos reales.
BloodHoundKerberoastingPass-the-HashDCSyncLSASS dumpSMB relay
Alcanzamos los Crown Jewels definidos en el briefing (datos de clientes, propiedad intelectual, credenciales privilegiadas, acceso a sistemas de pago). Simulamos exfiltración a servidor controlado externo para medir si el DLP y las reglas de egress filtering son capaces de detectarlo. Documentamos cada paso con timestamp, TTPs MITRE ATT&CK y logs de red.
Data stagingDNS exfilHTTPS exfilDLP bypassCrown jewels accessScreenshot evidence
Sesión de debrief con el equipo de seguridad y dirección: reproducimos la cadena de ataque completa, revisamos qué detectó el SOC y qué no, y marcamos cada TTP en el mapa MITRE ATT&CK. Opcionalmente, sesión de purple team para trabajar con el equipo defensivo en las reglas de detección que habrían bloqueado el ataque. Informe final con narrativa técnica y ejecutiva.
MITRE ATT&CK mappingSOC reviewPurple teamDetection gapsPlaybook review
Métricas // 02
Qué Medimos.
Un red team sin métricas es solo un pentest caro. Medimos lo que importa para mejorar tu postura de seguridad real.
Tiempo hasta Acceso Inicial (TTI)
¿Cuánto tardamos en conseguir el primer foothold desde el arranque de la campaña? Este dato mide la efectividad de tus controles perimetrales y la concienciación del empleado.
Tasa de Detección del SOC
¿Qué porcentaje de nuestras acciones generó una alerta real? ¿Cuántas fueron investigadas? ¿Cuántas generaron una respuesta? El gap entre alertas generadas e investigadas es el punto ciego más peligroso.
Rutas de Escalada de Privilegios
Cuántos paths distintos existen en tu Active Directory para llegar desde usuario estándar hasta Domain Admin. BloodHound lo visualiza; nosotros lo explotamos y te enseñamos cómo cortar cada ruta.
Efectividad del EDR/AV
Testamos hasta qué punto tu solución EDR detecta y bloquea técnicas reales de evasión. Documentamos qué TTPs pasaron sin alerta y por qué, con recomendaciones de tuning específicas.
Acceso a Crown Jewels
¿Llegamos hasta los datos o sistemas más críticos para tu negocio? ¿En cuánto tiempo? ¿Con cuántos detectores activos? Esta es la métrica que el CEO necesita entender sobre su riesgo real.
Capacidad de Exfiltración
¿Tu DLP y las reglas de egress filtering pueden detectar exfiltración de datos sobre DNS, HTTPS o canales alternativos? Medimos el volumen simulado antes de activar cualquier alerta.
Cobertura // 03
MITRE ATT&CK Coverage.
Cada técnica ejecutada durante la campaña se mapea al framework MITRE ATT&CK. El informe final incluye un heatmap de cobertura para que sepas exactamente qué TTPs han sido evaluadas.
TA0001
Initial Access
Phishing (T1566), Valid Accounts (T1078), Exploit Public-Facing Application (T1190), External Remote Services (T1133).
TA0003
Persistence
Scheduled Task/Job (T1053), Create Account (T1136), Account Manipulation (T1098), Implant Internal Image (T1525).
TA0004
Privilege Escalation
Abuse Elevation Control (T1548), Kerberoasting (T1558.003), Pass the Hash (T1550.002), DCSync (T1003.006).
TA0005
Defense Evasion
Obfuscated Files (T1027), Impair Defenses (T1562), Masquerading (T1036), Indicator Removal (T1070).
TA0008
Lateral Movement
Pass the Hash (T1550.002), Remote Services (T1021), Internal Spearphishing (T1534), SMB/Windows Admin Shares.
TA0010
Exfiltration
Exfiltration Over C2 Channel (T1041), DNS Exfiltration (T1048.003), Exfiltration Over HTTPS (T1048.002).
FAQ // 04
Preguntas Frecuentes.
¿En qué se diferencia un red team de un pentesting?
Un pentest evalúa si una aplicación o sistema específico tiene vulnerabilidades. Un red team evalúa si tu organización entera puede ser comprometida por un atacante real usando todos los vectores disponibles: técnico, social e incluso físico. El pentest mira las puertas; el red team busca si puede entrar por la ventana, el tejado o convenciendo al vigilante.
¿Cuántas personas de nuestra organización saben que hay una campaña activa?
Lo mínimo posible para que la evaluación sea realista. Típicamente solo 1–2 personas en dirección (el "sponsor" del ejercicio). Si el equipo de seguridad o el SOC sabe de antemano que hay un red team activo, su comportamiento cambia y los resultados pierden validez. Esta limitación de conocimiento es fundamental para obtener una medición real de la capacidad de detección.
¿Usáis malware o exploits reales?
Usamos herramientas y técnicas reales (Cobalt Strike, Sliver, payloads personalizados, exploits con CVE públicos) pero con salvaguardas: no ejecutamos código destructivo, no ciframos datos, no exfiltramos datos reales a sistemas fuera del alcance acordado. El objetivo es demostrar que el acceso es posible y medible, no causar daño operacional.
¿Qué pasa si causáis una interrupción del servicio accidentalmente?
Definimos en el briefing inicial una lista de sistemas "fuera de alcance" que no pueden tocarse bajo ningún concepto (producción crítica, sistemas de vida o muerte). Si durante la campaña existe riesgo de impacto operacional no intencional, pausamos y notificamos inmediatamente al sponsor. Llevamos años sin incidentes de este tipo, pero el protocolo existe y lo seguimos.
¿Qué tamaño mínimo de empresa tiene sentido para un red team?
En general, organizaciones con al menos un equipo de IT propio o un contrato de SOC gestionado. El red team pierde valor si no hay defensores que evaluar. Para empresas más pequeñas, recomendamos empezar con un pentest de infraestructura y un purple team antes de hacer un red team completo. Te lo diremos honestamente en la primera llamada.
// ¿CUÁNTO TIEMPO TARDAMOS EN LLEGAR AL NÚCLEO?
Descúbrelo antes que tus adversarios.
Primera llamada de scoping sin coste. Definimos el alcance, los objetivos y el timing en 45 minutos.