Capacidades técnicas, tácticas y de respuesta para equipos red team y blue team

Abstract

El objetivo del presente informe es analizar y documentar un ejercicio avanzado de ciberseguridad mediante un enfoque metodológico dual que integra actividades ofensivas de Red Team y acciones defensivas de Blue Team en un entorno controlado. Desde la perspectiva ofensiva, se ejecutó una metodología de pruebas de penetración que incluyó reconocimiento, escaneo de servicios, explotación de vulnerabilidades y movimiento lateral, aplicada sobre una infraestructura compuesta por dos sistemas Windows vulnerables (Host-A y Host-B) y una máquina atacante Parrot. El análisis permitió identificar la exposición del protocolo SMB y la vulnerabilidad MS17-010 (EternalBlue), cuya explotación facilitó el acceso inicial, el escalamiento de privilegios y la implementación de técnicas de pivoting mediante un proxy SOCKS para comprometer un segundo host. Desde la perspectiva defensiva, se desarrolló un proceso de respuesta a incidentes alineado con la guía NIST 800-61, mediante la identificación de indicadores de compromiso, el análisis de conexiones, procesos y eventos del sistema, el aislamiento del host afectado y la preservación de evidencia volátil para análisis forense. Como resultado, se confirmaron las técnicas de intrusión empleadas, se contuvo el incidente y se definió un plan de hardening orientado a mitigar riesgos futuros, incluyendo gestión de parches, deshabilitación de SMBv1, segmentación de red, fortalecimiento de credenciales y monitoreo continuo mediante SIEM y SOAR.