Capacidades técnicas, tácticas y de respuesta para equipos red team y blue team

Abstract

El presente documento analiza de manera integral las cuatro etapas del ejercicio académico de ciberseguridad centrado en la interacción operativa entre los equipos Red Team y Blue Team, con el propósito de comprender los procesos de ataque, defensa, detección y contención dentro de un entorno controlado. En las primeras fases se examinan las acciones ofensivas del Red Team, evidenciando la explotación de vulnerabilidades críticas como Rejetto HFS (CVE-2014-6287) y EternalBlue (MS17-010), así como los vectores y técnicas empleados para comprometer sistemas Windows. Posteriormente, el enfoque se traslada al Blue Team, donde se detallan las acciones iniciales ante un incidente en tiempo real, incluyendo la identificación del origen del ataque, la preservación de evidencia, la revisión de conexiones activas, la validación de procesos y la contención mediante aislamiento de equipos comprometidos. Asimismo, se plantea un conjunto de medidas de hardening basadas en estándares internacionales como CIS Benchmarks y guías CCN-STIC, orientadas a reducir la superficie de ataque y evitar la repetición de intrusiones. El estudio también profundiza en las diferencias funcionales entre Blue Team y CSIRT, resaltando sus roles complementarios dentro del ciclo de respuesta. Además, se incluyen análisis sobre el uso del CIS en la defensa organizacional, las capacidades de un SIEM para la correlación de eventos y tres herramientas críticas de contención. En conjunto, este trabajo ofrece una visión completa del ciclo ofensivo–defensivo, destacando la importancia de la prevención, la respuesta estructurada y la mejora continua en la seguridad de la información.