Los ejercicios Red Team simulan ataques reales para evaluar la postura defensiva de una organización de manera integral. A diferencia de un test de penetración convencional, un ejercicio Red Team reproduce fielmente las tácticas, técnicas y procedimientos (TTPs) de actores de amenaza reales, poniendo a prueba no solo la tecnología, sino también los procesos y las personas. Este arsenal documenta las herramientas y metodologías empleadas por equipos Red Team profesionales en evaluaciones de seguridad ofensiva autorizadas.Documentation Index
Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt
Use this file to discover all available pages before exploring further.
¿Qué es un Red Team?
Un Red Team es un grupo de profesionales de seguridad especializados en simular las acciones de un adversario real con el objetivo de medir y mejorar las capacidades defensivas de una organización. Su misión no es simplemente encontrar vulnerabilidades técnicas, sino validar si los controles de seguridad, los procedimientos de respuesta a incidentes y la concienciación del personal son capaces de detectar y contener un ataque sofisticado y persistente. La principal diferencia con un pentest clásico radica en el alcance y la duración. Un pentest típico es acotado, técnico y se centra en enumerar vulnerabilidades en un sistema o aplicación concretos. Un ejercicio Red Team, en cambio, puede extenderse durante semanas o meses, implica múltiples vectores de ataque simultáneos —técnicos, físicos y humanos— y tiene como objetivo final alcanzar un objetivo de negocio específico definido por el cliente, como el acceso a información confidencial o la interrupción de un proceso crítico.Fases de un Ejercicio Red Team
Un ejercicio Red Team sigue una metodología estructurada que reproduce el ciclo de vida de un ataque real. Cada fase construye sobre la anterior y el equipo puede iterar entre ellas a medida que obtiene nueva información.Reconocimiento (OSINT)
Recopilación exhaustiva de información pública sobre el objetivo sin interactuar directamente con sus sistemas. Se utilizan fuentes como LinkedIn para mapear el organigrama, WHOIS para identificar dominios e infraestructura, Shodan para descubrir activos expuestos en internet y Google Dorking para localizar ficheros y páginas sensibles indexadas accidentalmente. El objetivo es construir un perfil detallado de la superficie de ataque antes de lanzar cualquier acción ofensiva.
Armamentización
Preparación de los exploits, payloads y frameworks de Comando y Control (C2) que se utilizarán durante el ejercicio. Esta fase incluye la creación de implantes personalizados adaptados al entorno del objetivo, la configuración de la infraestructura de ataque (servidores C2, dominios de phishing, redirectores) y la verificación de que las herramientas no son detectadas por las soluciones de seguridad del cliente.
Entrega
Transmisión del payload al objetivo mediante el vector de ataque más adecuado para el escenario. Los métodos más comunes incluyen campañas de spear-phishing con adjuntos o enlaces maliciosos, entrega física de dispositivos USB en las instalaciones del cliente, explotación de vulnerabilidades en servicios web públicos o aprovechamiento de credenciales obtenidas en la fase de reconocimiento.
Explotación
Ejecución del payload en el sistema comprometido para obtener el acceso inicial. Esta fase incluye la explotación de vulnerabilidades del sistema operativo, aplicaciones o configuraciones incorrectas, así como la evasión de controles de seguridad como EDR/AV, listas de aplicaciones permitidas o segmentación de red.
Instalación
Establecimiento de persistencia en el sistema comprometido para mantener el acceso incluso si el sistema se reinicia o el vector de acceso inicial es bloqueado. Las técnicas más habituales incluyen la implantación de backdoors, la creación de tareas programadas o servicios maliciosos, la modificación del registro de Windows y el abuso de mecanismos de inicio automático.
Comando y Control (C2)
Establecimiento de un canal de comunicación encubierto entre el implante en el sistema comprometido y la infraestructura del Red Team. Los frameworks C2 modernos utilizan protocolos legítimos como HTTPS, DNS o incluso redes sociales para enmascarar el tráfico malicioso y evadir la inspección de red. Este canal permite al operador emitir comandos, recibir resultados y pivotar hacia nuevos sistemas de la red.
Acción sobre Objetivos
Consecución del objetivo final definido en el alcance del ejercicio, que normalmente incluye alguna combinación de exfiltración de datos sensibles, movimiento lateral hacia sistemas de mayor valor, escalada de privilegios hasta obtener control de dominio o acceso a activos críticos, y demostración del impacto potencial del compromiso para el negocio del cliente.
Herramientas por Categoría
El ecosistema de herramientas Red Team es amplio y se organiza según la fase del ciclo de ataque en la que se utilizan. La siguiente tabla recoge las herramientas más representativas de cada categoría, empleadas habitualmente en evaluaciones profesionales.| Herramienta | Categoría | Descripción |
|---|---|---|
| Shodan | Reconocimiento | Motor de búsqueda de dispositivos conectados a internet. Permite descubrir servicios expuestos, versiones de software y configuraciones incorrectas en la infraestructura del objetivo. |
| theHarvester | Reconocimiento | Recopila correos electrónicos, subdominios, hosts, nombres de empleados y fuentes OSINT de múltiples buscadores públicos y bases de datos. |
| Maltego | Reconocimiento | Plataforma de inteligencia gráfica que visualiza relaciones entre personas, dominios, IPs y organizaciones a partir de fuentes públicas y privadas. |
| Recon-ng | Reconocimiento | Framework modular de reconocimiento web similar a Metasploit, con módulos para recopilar información de multitud de fuentes OSINT. |
| Nmap | Escaneo y Enumeración | Escáner de red líder en la industria. Identifica hosts activos, puertos abiertos, servicios en ejecución y versiones de software en redes de cualquier tamaño. |
| Masscan | Escaneo y Enumeración | Escáner de puertos de altísima velocidad capaz de analizar toda Internet en menos de seis minutos. Ideal para reconocimiento de grandes rangos de IPs. |
| Nikto | Escaneo y Enumeración | Escáner de servidores web que detecta configuraciones inseguras, ficheros peligrosos, versiones desactualizadas y más de 6700 elementos potencialmente peligrosos. |
| OWASP ZAP | Escaneo y Enumeración | Proxy de interceptación y escáner de aplicaciones web de OWASP. Permite analizar el tráfico HTTP/S, identificar vulnerabilidades y realizar pruebas manuales y automatizadas. |
| Metasploit Framework | Explotación | El framework de explotación más utilizado en la industria. Proporciona una base de datos de exploits, módulos de post-explotación y herramientas de generación de payloads. |
| SQLmap | Explotación | Herramienta de detección y explotación automática de inyecciones SQL. Soporta múltiples bases de datos y técnicas de inyección, incluyendo extracción de datos y ejecución de comandos. |
| BeEF | Explotación | Browser Exploitation Framework. Especializado en el ataque de navegadores web comprometidos mediante XSS, permitiendo ejecutar módulos de post-explotación en el cliente. |
| Mimikatz | Post-Explotación | Herramienta de extracción de credenciales de Windows. Permite volcar contraseñas en texto claro, hashes NTLM y tickets Kerberos de la memoria del sistema. |
| BloodHound | Post-Explotación | Mapea las relaciones de confianza en entornos Active Directory para identificar rutas de ataque hacia objetivos de alto valor, como Domain Admins o sistemas críticos. |
| PowerSploit | Post-Explotación | Colección de módulos PowerShell para post-explotación en entornos Windows: inyección de procesos, escalada de privilegios, persistencia y exfiltración. |
| Empire | Post-Explotación | Framework de post-explotación que combina un agente PowerShell para Windows y un agente Python para Linux/macOS con un servidor C2 integrado. |
| Cobalt Strike | C2 Frameworks | Plataforma comercial de simulación de adversarios ampliamente utilizada por equipos Red Team profesionales. Ofrece un C2 avanzado, generación de payloads y capacidades de colaboración en equipo. |
| Sliver | C2 Frameworks | Framework C2 de código abierto desarrollado por BishopFox como alternativa a Cobalt Strike. Soporta múltiples protocolos de transporte (HTTP/S, DNS, mTLS) y generación de implantes multiplataforma. |
| Havoc | C2 Frameworks | Framework C2 moderno y de código abierto con una interfaz gráfica avanzada. Destaca por sus capacidades de evasión de EDR mediante técnicas de inyección de procesos y ofuscación de shellcode. |
Arsenal Red Team Online
Además de las herramientas de escritorio, existen recursos web de referencia que todo profesional Red Team debe conocer. Los siguientes enlaces proporcionan directorios actualizados, enciclopedias de técnicas y bases de datos de binarios para escalada de privilegios.Arsenal Red Team
Directorio completo de herramientas Red Team profesionales. Recopila y categoriza las principales utilidades ofensivas utilizadas en evaluaciones de seguridad reales, con descripciones y enlaces directos.