Capacidades técnicas, legales y de gestión para equipos blue team y red team

Abstract

La seguridad informática es un área llena de retos para aquellos que tomamos la decisión de arriesgarnos a proteger a las personas, empresas, entidades etc muchos dirán que es mentira, pero el hecho de proteger una organización, una entidad pública, privada, incluso en tu propia casa, es cuidar del activo mas importante de las personas: La Información.

Dentro de los retos que asumen quienes nos dedicamos a la seguridad Informática, radica en estar siempre bien informados y actualizados, pues constantemente evolucionan nuevas amenazas y formas de ataque, por ello el reto también involucra ampliar constantemente los conocimientos desde el ámbito legal y normativo, pasando por la ejecución de actividades de intrusión o pruebas de penetración, detectando huecos de vulnerabilidad y ejecutando estrategias de hardenización que protejan la infraestructura critica de una organización entre otras acciones.

En este documento se detallan algunas de las actividades más importantes que se realizan a nivel de seguridad informática, donde se destaca el marco normativo colombiano que durante las últimas dos décadas ha implementado leyes que rigen y castigan a quienes se ha dedicado a cometer delitos informáticos que afecten el país y a sus ciudadanos, leyes como la Ley 1581 de 2012, que se centra en la protección de datos personales, y la Ley 1273 de 2009, que aborda los delitos informáticos y la ciberseguridad. Además, se examinan otras leyes colombianas relevantes relacionadas con la seguridad cibernética.

El análisis legal es crucial para comprender las implicaciones legales de las actividades en el ámbito de la ciberseguridad. Se destacan las sanciones y las responsabilidades legales asociadas con las violaciones de estas leyes.

Así mismo dentro de estas páginas se profundiza la realización de una prueba de penetración desde una máquina Kali Linux a una máquina Windows 10, donde se describe en detalle la explotación de vulnerabilidades específicas en el sistema Windows 10 y la ejecución de un payload para obtener acceso remoto.

Se explora la técnica de control remoto utilizada y se proporciona una descripción detallada de las acciones realizadas desde Kali Linux en la máquina Windows 10 comprometida. Se analiza el tráfico de red capturado con Wireshark para entender cómo se estableció y mantuvo la conexión, resaltando las actividades que realizan los equipos Red Team, como la ejecutada en la prueba de intrusión, pues esto sirve para realizar evaluaciones de seguridad simulando ataques cibernéticos reales, ayudando a las organizaciones a identificar y corregir vulnerabilidades antes de que los ciberdelincuentes las exploten. Además, se resaltan las mejores prácticas para la colaboración entre equipos Red Team y Blue Team, enfocadas en las actividades de colaboración de los equipos Purple Team.

Otra de las actividades realizadas que se encontraran en este documento, radican en las estrategias y tácticas utilizadas para fortalecer la seguridad, como las actividades realizadas por un equipo Blue Team, donde se plantean estrategias de hardenización tanto para el sistema Operativo como la red de datos, así como las actividades y/o protocolos que se deben realizar cuando un sistema esta siendo atacado en tiempo real, se destaca la importancia de los trabajos y documentación realizados por entidades internacionales que documentan y catalogan las vulnerabilidades (Un CVE - Common Vulnerabilities and Exposures) y aquellas que se encargan de emitir documentación como el CIS- Center For Internet Security la cual es una organización sin animo de lucro que se encarga de ayudar a otras organizaciones, a protegerse contra las amenazas que se encuentran en el ciberespacio, asi mismo se destaca la colaboración entre equipos Red Team y Blue Team, conocida como Purple Team, se analizan las herramientas, técnicas y procedimientos utilizados para mejorar la seguridad a través de pruebas, evaluación de amenazas y endurecimiento continuo.

Se exploran las opciones de herramientas de seguridad utilizadas en el mercado para endurecer sistemas y redes, y se brinda una visión detallada de los métodos y alternativas disponibles, así como las herramientas proporcionadas por el Center for Internet Security (CIS) en la evaluación y mitigación de riesgos de seguridad cibernética.

Además, se destaca el valor de las soluciones de Seguridad de la Información y Gestión de Eventos (SIEM) y la Detección y Respuesta Extendida (XDR) en una organización. Se explican cómo estas tecnologías contribuyen a la monitorización proactiva y a la respuesta eficaz ante amenazas cibernéticas.

En el documento se proporciona un análisis técnico y profundo de las actividades y conceptos clave relacionados con la seguridad informática en un entorno empresarial, cada tema se presenta en detalle para ayudar a los especialistas en seguridad a comprender mejor y abordar los desafíos de la ciberseguridad en la actualidad.