Fases de un ejercicio de Red Team: cómo funciona de principio a fin

Un ejercicio de Red Team no es un pentesting más largo: es un proceso estructurado en fases distintas, cada una con objetivos y riesgos propios, que puede extenderse varias semanas o meses. Entender cada fase ayuda a fijar expectativas realistas antes de contratarlo.

Fase 1: definición de objetivo y reglas de intervención

Antes de cualquier acción técnica, se acuerda con dirección o el CISO —nunca con el equipo defensivo, que no debe saberlo— el objetivo de negocio concreto (crown jewel), los sistemas estrictamente fuera de alcance, la ventana temporal y, crucialmente, el protocolo de parada de emergencia: quién puede detener el ejercicio y cómo, si algo sale mal o hay riesgo real para producción. Esta fase también fija si se permite ingeniería social presencial o solo vectores digitales.

Fase 2: inteligencia de amenazas y reconocimiento

El equipo construye un perfil de ataque realista basado en las tácticas, técnicas y procedimientos (TTPs) de actores relevantes para el sector de la organización —no técnicas genéricas—, y mapea la superficie expuesta: dominios y subdominios, empleados y sus roles, tecnologías en uso, credenciales filtradas en brechas previas. Esta fase es puramente pasiva: no toca sistemas de la organización todavía.

Fase 3: intrusión inicial

Se ejecuta el vector de entrada acordado: phishing dirigido a empleados concretos (spear phishing), explotación de un servicio expuesto identificado en el reconocimiento, o un vector de ingeniería social. El objetivo de esta fase es obtener un punto de apoyo inicial —una credencial válida, ejecución de código en un equipo— con el menor ruido posible, evitando disparar alertas tempranas que arruinarían el resto del ejercicio.

Fase 4: post-explotación, movimiento lateral y evasión

Con el punto de apoyo inicial, el equipo escala privilegios, se mueve lateralmente entre sistemas hacia el objetivo definido en la fase 1, y establece persistencia, todo mientras evade activamente EDR, antivirus y las reglas de detección del SOC. Es la fase más larga del ejercicio: la velocidad se sacrifica deliberadamente en favor del sigilo, porque ser detectado antes de tiempo invalida la medición real que busca el ejercicio.

Fase 5: consecución del objetivo, cierre y purple teaming

El equipo alcanza (o documenta por qué no alcanzó) el objetivo de negocio acordado. Se entrega un informe conjunto con la cronología completa del ataque mapeada a MITRE ATT&CK, qué detectó el equipo azul y en qué momento, y qué no detectó. Muchos ejercicios cierran con una sesión de purple teaming: el equipo rojo y el azul revisan juntos, técnica por técnica, qué falló en la detección y cómo corregirlo.

FAQ

¿Cuánto dura un ejercicio de Red Team completo, de principio a fin?

Habitualmente entre 4 y 12 semanas, dependiendo de la complejidad del objetivo, el tamaño de la organización y el nivel de sigilo requerido. La fase de post-explotación suele ser la más larga porque prioriza no ser detectado sobre la velocidad.

¿Qué pasa si en la fase 3 no se consigue ningún punto de apoyo inicial?

Es un resultado legítimo que también aporta información valiosa: significa que el perímetro expuesto y la concienciación frente a phishing son sólidos. En ese caso se suele acordar con el cliente un punto de partida asistido (assumed breach) para poder evaluar las fases posteriores igualmente.