Skip to main content

Documentation Index

Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt

Use this file to discover all available pages before exploring further.

Los ejercicios Red Team simulan ataques reales para evaluar la postura defensiva de una organización de manera integral. A diferencia de un test de penetración convencional, un ejercicio Red Team reproduce fielmente las tácticas, técnicas y procedimientos (TTPs) de actores de amenaza reales, poniendo a prueba no solo la tecnología, sino también los procesos y las personas. Este arsenal documenta las herramientas y metodologías empleadas por equipos Red Team profesionales en evaluaciones de seguridad ofensiva autorizadas.

¿Qué es un Red Team?

Un Red Team es un grupo de profesionales de seguridad especializados en simular las acciones de un adversario real con el objetivo de medir y mejorar las capacidades defensivas de una organización. Su misión no es simplemente encontrar vulnerabilidades técnicas, sino validar si los controles de seguridad, los procedimientos de respuesta a incidentes y la concienciación del personal son capaces de detectar y contener un ataque sofisticado y persistente. La principal diferencia con un pentest clásico radica en el alcance y la duración. Un pentest típico es acotado, técnico y se centra en enumerar vulnerabilidades en un sistema o aplicación concretos. Un ejercicio Red Team, en cambio, puede extenderse durante semanas o meses, implica múltiples vectores de ataque simultáneos —técnicos, físicos y humanos— y tiene como objetivo final alcanzar un objetivo de negocio específico definido por el cliente, como el acceso a información confidencial o la interrupción de un proceso crítico.

Fases de un Ejercicio Red Team

Un ejercicio Red Team sigue una metodología estructurada que reproduce el ciclo de vida de un ataque real. Cada fase construye sobre la anterior y el equipo puede iterar entre ellas a medida que obtiene nueva información.
1

Reconocimiento (OSINT)

Recopilación exhaustiva de información pública sobre el objetivo sin interactuar directamente con sus sistemas. Se utilizan fuentes como LinkedIn para mapear el organigrama, WHOIS para identificar dominios e infraestructura, Shodan para descubrir activos expuestos en internet y Google Dorking para localizar ficheros y páginas sensibles indexadas accidentalmente. El objetivo es construir un perfil detallado de la superficie de ataque antes de lanzar cualquier acción ofensiva.
2

Armamentización

Preparación de los exploits, payloads y frameworks de Comando y Control (C2) que se utilizarán durante el ejercicio. Esta fase incluye la creación de implantes personalizados adaptados al entorno del objetivo, la configuración de la infraestructura de ataque (servidores C2, dominios de phishing, redirectores) y la verificación de que las herramientas no son detectadas por las soluciones de seguridad del cliente.
3

Entrega

Transmisión del payload al objetivo mediante el vector de ataque más adecuado para el escenario. Los métodos más comunes incluyen campañas de spear-phishing con adjuntos o enlaces maliciosos, entrega física de dispositivos USB en las instalaciones del cliente, explotación de vulnerabilidades en servicios web públicos o aprovechamiento de credenciales obtenidas en la fase de reconocimiento.
4

Explotación

Ejecución del payload en el sistema comprometido para obtener el acceso inicial. Esta fase incluye la explotación de vulnerabilidades del sistema operativo, aplicaciones o configuraciones incorrectas, así como la evasión de controles de seguridad como EDR/AV, listas de aplicaciones permitidas o segmentación de red.
5

Instalación

Establecimiento de persistencia en el sistema comprometido para mantener el acceso incluso si el sistema se reinicia o el vector de acceso inicial es bloqueado. Las técnicas más habituales incluyen la implantación de backdoors, la creación de tareas programadas o servicios maliciosos, la modificación del registro de Windows y el abuso de mecanismos de inicio automático.
6

Comando y Control (C2)

Establecimiento de un canal de comunicación encubierto entre el implante en el sistema comprometido y la infraestructura del Red Team. Los frameworks C2 modernos utilizan protocolos legítimos como HTTPS, DNS o incluso redes sociales para enmascarar el tráfico malicioso y evadir la inspección de red. Este canal permite al operador emitir comandos, recibir resultados y pivotar hacia nuevos sistemas de la red.
7

Acción sobre Objetivos

Consecución del objetivo final definido en el alcance del ejercicio, que normalmente incluye alguna combinación de exfiltración de datos sensibles, movimiento lateral hacia sistemas de mayor valor, escalada de privilegios hasta obtener control de dominio o acceso a activos críticos, y demostración del impacto potencial del compromiso para el negocio del cliente.

Herramientas por Categoría

El ecosistema de herramientas Red Team es amplio y se organiza según la fase del ciclo de ataque en la que se utilizan. La siguiente tabla recoge las herramientas más representativas de cada categoría, empleadas habitualmente en evaluaciones profesionales.
HerramientaCategoríaDescripción
ShodanReconocimientoMotor de búsqueda de dispositivos conectados a internet. Permite descubrir servicios expuestos, versiones de software y configuraciones incorrectas en la infraestructura del objetivo.
theHarvesterReconocimientoRecopila correos electrónicos, subdominios, hosts, nombres de empleados y fuentes OSINT de múltiples buscadores públicos y bases de datos.
MaltegoReconocimientoPlataforma de inteligencia gráfica que visualiza relaciones entre personas, dominios, IPs y organizaciones a partir de fuentes públicas y privadas.
Recon-ngReconocimientoFramework modular de reconocimiento web similar a Metasploit, con módulos para recopilar información de multitud de fuentes OSINT.
NmapEscaneo y EnumeraciónEscáner de red líder en la industria. Identifica hosts activos, puertos abiertos, servicios en ejecución y versiones de software en redes de cualquier tamaño.
MasscanEscaneo y EnumeraciónEscáner de puertos de altísima velocidad capaz de analizar toda Internet en menos de seis minutos. Ideal para reconocimiento de grandes rangos de IPs.
NiktoEscaneo y EnumeraciónEscáner de servidores web que detecta configuraciones inseguras, ficheros peligrosos, versiones desactualizadas y más de 6700 elementos potencialmente peligrosos.
OWASP ZAPEscaneo y EnumeraciónProxy de interceptación y escáner de aplicaciones web de OWASP. Permite analizar el tráfico HTTP/S, identificar vulnerabilidades y realizar pruebas manuales y automatizadas.
Metasploit FrameworkExplotaciónEl framework de explotación más utilizado en la industria. Proporciona una base de datos de exploits, módulos de post-explotación y herramientas de generación de payloads.
SQLmapExplotaciónHerramienta de detección y explotación automática de inyecciones SQL. Soporta múltiples bases de datos y técnicas de inyección, incluyendo extracción de datos y ejecución de comandos.
BeEFExplotaciónBrowser Exploitation Framework. Especializado en el ataque de navegadores web comprometidos mediante XSS, permitiendo ejecutar módulos de post-explotación en el cliente.
MimikatzPost-ExplotaciónHerramienta de extracción de credenciales de Windows. Permite volcar contraseñas en texto claro, hashes NTLM y tickets Kerberos de la memoria del sistema.
BloodHoundPost-ExplotaciónMapea las relaciones de confianza en entornos Active Directory para identificar rutas de ataque hacia objetivos de alto valor, como Domain Admins o sistemas críticos.
PowerSploitPost-ExplotaciónColección de módulos PowerShell para post-explotación en entornos Windows: inyección de procesos, escalada de privilegios, persistencia y exfiltración.
EmpirePost-ExplotaciónFramework de post-explotación que combina un agente PowerShell para Windows y un agente Python para Linux/macOS con un servidor C2 integrado.
Cobalt StrikeC2 FrameworksPlataforma comercial de simulación de adversarios ampliamente utilizada por equipos Red Team profesionales. Ofrece un C2 avanzado, generación de payloads y capacidades de colaboración en equipo.
SliverC2 FrameworksFramework C2 de código abierto desarrollado por BishopFox como alternativa a Cobalt Strike. Soporta múltiples protocolos de transporte (HTTP/S, DNS, mTLS) y generación de implantes multiplataforma.
HavocC2 FrameworksFramework C2 moderno y de código abierto con una interfaz gráfica avanzada. Destaca por sus capacidades de evasión de EDR mediante técnicas de inyección de procesos y ofuscación de shellcode.

Arsenal Red Team Online

Además de las herramientas de escritorio, existen recursos web de referencia que todo profesional Red Team debe conocer. Los siguientes enlaces proporcionan directorios actualizados, enciclopedias de técnicas y bases de datos de binarios para escalada de privilegios.

Arsenal Red Team

Directorio completo de herramientas Red Team profesionales. Recopila y categoriza las principales utilidades ofensivas utilizadas en evaluaciones de seguridad reales, con descripciones y enlaces directos.

Framework MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) es el marco de referencia estándar de la industria para describir el comportamiento de los actores de amenaza. Organiza el conocimiento sobre cómo operan los atacantes reales en una matriz de tácticas —los objetivos de alto nivel de cada fase del ataque— y técnicas —los métodos concretos empleados para alcanzarlos—. Para los equipos Red Team, ATT&CK es una herramienta fundamental en dos sentidos. Por un lado, permite planificar ejercicios que reproduzcan fielmente las TTPs de grupos de amenaza específicos (APTs), haciendo los simulacros más realistas y relevantes para el cliente. Por otro lado, facilita la comunicación con los equipos Blue Team y los responsables de seguridad, ya que proporciona un lenguaje común para describir qué técnicas fueron empleadas, cuáles fueron detectadas y cuáles pasaron desapercibidas. Al finalizar un ejercicio Red Team, cada acción ejecutada por el equipo ofensivo se mapea contra la matriz ATT&CK, generando un informe que muestra de forma visual qué parte del ciclo de ataque fue cubierta, qué controles de seguridad funcionaron correctamente y qué brechas de detección o prevención deben ser abordadas de forma prioritaria por el equipo defensor.
Las técnicas y herramientas documentadas aquí son para uso exclusivo en entornos autorizados. Su uso sin autorización expresa constituye un delito informático tipificado en el artículo 197 bis del Código Penal español.

Build docs developers (and LLMs) love