Red team

Concepto y objetivos

  • El Red Team es una disciplina de ciberseguridad ofensiva centrada en simular adversarios reales (APT, cibercrimen organizado, insiders) para evaluar la detección, respuesta y resiliencia de una organización.
  • A diferencia del pentesting tradicional, el enfoque es:
    • Basado en objetivos de negocio
    • Con técnicas encadenadas (kill chain completa)
    • Orientado a evasión, persistencia y sigilo
  • El resultado no es solo encontrar vulnerabilidades, sino medir la capacidad defensiva real (personas, procesos y tecnología).

Relación con otras disciplinas

  • Pentesting
    • Evaluación técnica puntual de sistemas y aplicaciones
    • El Red Team puede reutilizar técnicas, pero con mayor contexto y alcance
  • Software engineering
    • Desarrollo de tooling propio, automatización y malware controlado
    • Necesario para evadir defensas modernas
    • Backend
    • python
    • vuejs
    • Go

Certificaciones relacionadas

  • CARTP
    • Certificación centrada en Red Teaming práctico
    • Uso de Active Directory, evasión y post-explotación
  • OSCP
    • Base técnica sólida en explotación y enumeración
    • No específica de Red Team, pero muy relevante
  • CRTO
    • Enfoque en Adversary Simulation y TTPs reales
    • Uso intensivo de frameworks como C2 y MITRE ATT&CK

Metodología y marcos de referencia

  • Uso de MITRE ATT&CK como lenguaje común para mapear técnicas
  • Emulación de amenazas basada en:
    • TTPs reales
    • Inteligencia de amenazas
    • Escenarios específicos del sector
  • Fases habituales:
    • Reconocimiento externo e interno
    • Acceso inicial
    • Persistencia
    • Movimiento lateral
    • Exfiltración / impacto
    • Evasión y antiforensics

Infraestructura objetivo

  • Windows Server ad
    • Active Directory como núcleo del entorno corporativo
    • Abuso de:
      • Kerberos
      • NTLM
      • GPO
      • Delegaciones
      • Servicios mal configurados
  • Integración con servicios cloud e híbridos (Azure AD, O365)

Malware y desarrollo ofensivo

  • malware
    • Desarrollo de payloads personalizados
    • Modificación de loaders y stagers
    • Uso de cifrado, ofuscación y técnicas fileless
  • Enfoque en:
    • Bypass de EDR/AV
    • Living Off The Land (LOLBins)
    • Persistencia encubierta

Herramientas de simulación APT

Ingeniería inversa

  • Ingeniería inversa
    • Análisis de malware real
    • Comprensión de técnicas usadas por actores avanzados
    • Identificación de patrones reutilizables
  • Uso en Red Team para:
    • Crear malware más realista
    • Mejorar técnicas de evasión
    • Entender detecciones defensivas

Kernel y bajo nivel

  • kernels
    • [Operating System Internals: A brief introduction to Kernels by Z3R0 Medium](https://medium.com/@amatajosh/an-introduction-to-kernels-1909a46228d9)
      • Fundamentos de kernels y modo usuario/kernel
      • Base para:
        • Rootkits
        • Drivers maliciosos
        • Evasión avanzada de EDR

Documentación y referencias

  • docs
    • ¿Qué es el Red Team en Ciberseguridad y Cómo Funciona?
      • Introducción conceptual al Red Team
    • [Definitions Red Team Development and Operations](https://redteam.guide/docs/definitions/)
      • Glosario y conceptos clave
    • [DESARROLLADOR RED TEAM Detalles del puesto Telefónica](https://jobs.telefonica.com/job/MADRID-DESARROLLADOR-RED-TEAM/1074442001/)
      • Expectativas reales del rol profesional

        Red team — Extensión y conceptos avanzados

Threat Intelligence aplicada

  • Uso de inteligencia de amenazas para diseñar escenarios realistas
  • Fuentes habituales:
    • Informes públicos de APT
    • IOC, TTPs y playbooks defensivos
    • Inteligencia sectorial y geopolítica
  • Conversión de inteligencia en:
    • Escenarios de ataque
    • Objetivos técnicos y de negocio
    • Supuestos realistas del adversario

Diseño de escenarios y campañas

  • Creación de campañas completas en lugar de pruebas aisladas
  • Definición de:
    • Objetivo final (crown jewels)
    • Restricciones (reglas de enfrentamiento)
    • Nivel de ruido permitido
  • Tipos de escenarios:
    • Compromiso de identidad
    • Acceso inicial vía usuario
    • Ataque interno simulando insider
    • Compromiso de cadena de suministro

Infraestructura de Comando y Control (C2)

  • Diseño de infraestructura ofensiva resiliente
  • Elementos clave:
    • Redirectores
    • Domain fronting
    • Rotación de IPs y dominios
  • Protocolos y canales:
    • HTTP/HTTPS
    • DNS
    • SMB / Named Pipes
    • Canales encubiertos
  • Importancia del perfilado de tráfico para evasión

OPSEC y evasión

  • OPSEC
    • Minimizar huellas técnicas y humanas
    • Control de tiempos, patrones y errores operativos
  • Técnicas habituales:
    • Evasión de EDR mediante comportamiento
    • Uso de herramientas nativas del sistema
    • Separación de infraestructura
  • Gestión de errores:
    • Kill-switches
    • Rollback de persistencia
    • Contención controlada

Ingeniería social

  • Uso de vectores humanos como punto de entrada
  • Técnicas frecuentes:
    • Phishing dirigido
    • Spear phishing
    • Vishing y smishing
  • Integración con Red Team:
    • Payloads personalizados
    • Infraestructura dedicada
    • Métricas de concienciación y detección

Red Team en entornos Cloud

  • Ataques sobre:
    • Identidades cloud
    • APIs
    • Roles y permisos mal definidos
  • Técnicas comunes:
    • Abuso de tokens
    • Escalada de privilegios en cloud
    • Movimiento lateral entre servicios
  • Importancia del enfoque híbrido:
    • On-prem + cloud
    • Identidad como nuevo perímetro

Purple Team

  • Purple Team
    • Colaboración directa entre ofensiva y defensiva
    • Ajuste en tiempo real de detecciones
  • Beneficios:
    • Mejora continua de reglas
    • Reducción de falsos positivos
    • Mayor transferencia de conocimiento
  • Uso de ATT&CK como puente común

Métricas y evaluación

  • Métricas técnicas:
    • Tiempo hasta detección
    • Tiempo hasta contención
    • Técnicas no detectadas
  • Métricas de negocio:
    • Impacto potencial
    • Superficie de ataque real
    • Riesgo residual
  • Evaluación comparativa:
    • Antes vs después
    • Evolución de la madurez defensiva

Reporting avanzado

  • Informes orientados a distintos públicos:
    • Técnico
    • Ejecutivo
    • Dirección
  • Componentes clave:
    • Narrativa del ataque
    • Decisiones del adversario
    • Brechas de proceso y tecnología
  • Enfoque en:
    • Riesgo
    • Prioridades
    • Mejora continua

Aspectos legales y éticos

  • Definición clara de:
    • Alcance
    • Autorizaciones
    • Datos sensibles
  • Cumplimiento de:
    • Legislación local
    • Normativas internas
    • Requisitos contractuales
  • Importancia de la trazabilidad y control

Madurez del Red Team

  • Niveles de madurez:
    • Ejercicios ad-hoc
    • Campañas periódicas
    • Emulación continua de adversarios
  • Integración con:
    • Gestión de riesgos
    • Threat Intelligence
    • SOC y Blue Team
  • Objetivo final:
    • Mejora sostenida de la postura defensiva

Red team — Labs prácticos

Listado de labs por dominio

Acceso inicial

  • Phishing dirigido con payload evasivo
  • Password spraying controlado sobre AD
  • Abuso de aplicaciones web internas
  • Compromiso de VPN con credenciales reutilizadas

Active Directory

  • Enumeración sigilosa de AD
  • Kerberoasting orientado a privilegios
  • Abuso de delegaciones Kerberos
  • Ataques a GPO mal configuradas
  • Escalada vía ACLs y permisos delegados

Post-explotación

  • Dumping de credenciales sin LSASS directo
  • Living Off The Land (LOLBins)
  • Persistencia encubierta
  • Movimiento lateral con cuentas de servicio

Comando y Control

  • C2 HTTP con redirectores
  • C2 DNS de bajo ruido
  • Named Pipes para entorno interno
  • Evasión por perfilado de tráfico

Malware y evasión

  • Loader en memoria
  • Ofuscación básica y polimorfismo
  • Bypass de AMSI
  • Evasión de EDR basada en comportamiento

Ingeniería social

  • Spear phishing técnico
  • Phishing con documentos maliciosos
  • Vishing con pretexting
  • Ataques combinados humano + técnico

Cloud e híbrido

  • Abuso de tokens cloud
  • Escalada de privilegios en Azure AD
  • Movimiento lateral entre cloud y on-prem
  • Persistencia en identidades cloud

Purple Team

  • Ejercicio de emulación ATT&CK
  • Ajuste de reglas de detección
  • Validación de alertas del SOC
  • Medición de tiempo de detección

Lab desarrollado — Compromiso de Active Directory con bajo ruido

Objetivo del lab

  • Obtener control de dominio partiendo de un usuario estándar
  • Mantener bajo nivel de detección
  • Documentar todas las decisiones como adversario

Escenario

  • Entorno Windows corporativo
  • Un dominio con:
    • Usuarios estándar
    • Cuentas de servicio
    • Servidores Windows
  • Acceso inicial simulado mediante credenciales válidas de bajo privilegio

Reglas del ejercicio

  • Prohibido usar exploits ruidosos
  • No uso de herramientas automáticas masivas
  • Priorizar LOLBins y técnicas nativas
  • Toda acción debe mapearse a ATT&CK

Fase 1 — Enumeración inicial

  • Enumeración de dominio sin escaneo activo
  • Objetivos:
    • Identificar cuentas de servicio
    • Detectar relaciones de confianza
    • Localizar equipos de interés
  • Técnicas:
    • LDAP queries
    • Comandos nativos de Windows
    • Enumeración basada en permisos

Código — Enumeración básica de dominio

Enumeración de usuarios y grupos

whoami
net user /domain
net group "Domain Admins" /domain

`

Fase 2 — Identificación de vectores de escalada

  • Análisis de:
    • SPNs configurados
    • Permisos delegados
    • Grupos con privilegios excesivos
  • Decisión del adversario:
    • Priorizar Kerberoasting frente a exploits

Código — Kerberoasting selectivo

Extracción de tickets Kerberos

setspn -T DOMAIN.LOCAL -Q */*

Fase 3 — Explotación controlada

  • Solicitud de tickets Kerberos
  • Crackeo offline de hashes
  • Validación de credenciales obtenidas
  • Acceso a cuenta de servicio con mayores privilegios

Fase 4 — Movimiento lateral

  • Uso de credenciales válidas
  • Acceso remoto sigiloso
  • Enumeración local del nuevo host
  • Búsqueda de nuevas oportunidades de escalada

Código — Movimiento lateral nativo

Acceso remoto con herramientas del sistema

wmic /node:HOSTNAME process call create "cmd.exe"

Fase 5 — Escalada a Domain Admin

  • Abuso de:
    • ACLs mal configuradas
    • Delegaciones Kerberos
    • Membresías heredadas
  • Obtención de control del dominio
  • Validación mínima del acceso

Fase 6 — Persistencia

  • Persistencia no obvia
  • Técnicas posibles:
    • ACLs persistentes
    • Backdoor en cuentas de servicio
    • Abuso de GPO existente

Fase 7 — Objetivo final

  • Acceso a:
    • DC
    • Crown jewels simulados

  • Prueba de impacto:

    • Acceso a información crítica
    • Capacidad de control sostenido

Métricas a evaluar

  • Tiempo hasta detección
  • Técnicas detectadas vs no detectadas
  • Nivel de ruido generado
  • Decisiones del adversario

Entregables del lab

  • Diagrama del ataque
  • Mapping ATT&CK
  • Evidencias mínimas
  • Recomendaciones defensivas priorizadas

Red team — Recursos y herramientas (2025)

Colecciones de recursos

Frameworks de comando y control (C2)

(fundamentales para operaciones de post-explotación y simulación de adversarios)

Reconocimiento y OSINT

(superficie de ataque, enumeración pasiva y activa)

Evaluación de red y web

(escaneo, fuzzing, inspección)

Active Directory y explotación de identidades

(básico para entornos corporativos)

Contraseña y credenciales

(crackeo, fuerza bruta, análisis de hashes)

Phishing y vectores de acceso inicial

Evasión, carga útil y post‑explotación

(actividad interna post‑compromiso)

Plataformas integrales

(automatización y simulación continua)

OSINT avanzadas

(identidad, redes sociales, búsquedas pasivas)

Formación y aprendizaje

Notas de contexto 2025