Red Team vs Pentesting: diferencias clave y cómo elegir
Red Team y pentesting comparten herramientas y mentalidad ofensiva, pero responden a preguntas distintas y no son intercambiables. Confundirlos lleva a contratar el servicio equivocado: pedir un Red Team cuando lo que hace falta es un pentesting exhaustivo de una aplicación, o pedir un pentesting cuando la pregunta real es si el SOC detectaría un ataque real.
Alcance: acotado y conocido vs. libre y orientado a objetivo
Un pentesting tiene un alcance técnico definido de antemano —una aplicación web, una red, un entorno Active Directory— y busca encontrar el máximo de vulnerabilidades dentro de ese perímetro. Un Red Team no parte de un alcance técnico, sino de un objetivo de negocio ("acceder al ERP", "exfiltrar datos de clientes"): el equipo rojo decide libremente qué camino tomar para llegar a él, igual que haría un atacante real, sin limitarse a un sistema concreto.
¿El equipo defensivo lo sabe? La diferencia que más cambia el resultado
En un pentesting, el equipo de IT o seguridad suele saber que se está ejecutando —incluso coordina ventanas de prueba—, lo que inevitablemente cambia su comportamiento. En un Red Team, el SOC y el equipo de respuesta NO son informados: solo lo sabe un contacto de confianza (normalmente CISO o dirección) con capacidad de activar una parada de emergencia. Esa opacidad es intencional: es la única forma de medir una reacción genuina, no una reacción condicionada por saber que hay un test en marcha.
Qué mide cada uno
Un pentesting mide superficie de ataque: cuántas vulnerabilidades hay, de qué severidad, y cómo corregirlas. Un Red Team mide capacidad de detección y respuesta: cuánto tiempo tardó el SOC en detectar la intrusión (MTTD), cuánto en contenerla (MTTR), qué alertas funcionaron y cuáles no. Son métricas distintas para decisiones distintas: el pentesting alimenta el backlog de remediación técnica; el Red Team alimenta la mejora de las capacidades de detección y del playbook de respuesta a incidentes.
Cómo decidir cuál necesitas
Si nunca has auditado tu seguridad técnica, o tienes vulnerabilidades críticas conocidas sin corregir, empieza por un pentesting: no tiene sentido medir la detección de un SOC contra fallos que un escáner ya encontraría. Si ya tienes un programa de pentesting maduro, un SOC operativo (propio o externalizado) y necesitas saber si de verdad funciona bajo presión real, un Red Team es el siguiente paso lógico. Muchas organizaciones maduras alternan: pentesting periódico para higiene técnica continua, Red Team anual o bianual para validar detección y respuesta.
FAQ
¿Un Red Team sustituye al pentesting periódico?
No. Son complementarios, no sustitutivos. El Red Team no busca maximizar la cobertura de vulnerabilidades —puede que ni siquiera toque ciertos sistemas si no forman parte del camino hacia el objetivo—, así que no reemplaza la higiene técnica continua que aporta el pentesting recurrente.
¿Cuánto dura un ejercicio de Red Team frente a un pentesting?
Un pentesting suele durar entre 1 y 3 semanas según el alcance. Un Red Team se extiende habitualmente varias semanas o incluso meses, porque prioriza el sigilo sobre la velocidad: moverse despacio y evitar detección es parte del objetivo del ejercicio.