Capacidades técnicas, tácticas y de respuesta para equipos red team y blue team

Abstract

El presente informe desarrolla el análisis integral, técnico y metodológico de un incidente de ciberseguridad simulado durante las Etapas 1 a 4 del Seminario Especializado en Equipos Estratégicos en Ciberseguridad: Red Team & Blue Team, ejecutado en un entorno controlado conformado por dos máquinas Windows ubicadas en redes separadas. Desde la perspectiva Red Team, se identificó y explotó una vulnerabilidad crítica en el servicio HttpFileServer (HFS) del Host-A, logrando ejecución remota de código mediante el uso de Metasploit. A partir de la enumeración de interfaces y segmentos internos, se detectó una segunda máquina (Host-B), hacia la cual se realizó movimiento lateral empleando técnicas de pivoting y reenvío de puertos, evidenciando la capacidad de expansión del atacante dentro de la infraestructura. Posteriormente, desde el enfoque Blue Team, se efectuó el análisis del incidente a través de la revisión de eventos del sistema, procesos, conexiones y artefactos asociados, lo que permitió reconstruir la línea de tiempo del ataque y aplicar acciones de contención, como el aislamiento del host comprometido, la eliminación de cuentas no autorizadas y la restauración de configuraciones afectadas. Finalmente, en la Etapa 5 se consolidan y comunican los hallazgos técnicos, integrando herramientas y metodologías empleadas, junto con el análisis de los aspectos legales y éticos relacionados con la Ley 1273 de 2009, la Ley 1581 de 2012 y las obligaciones profesionales establecidas por el COPNIA, así como la formulación de recomendaciones de fortalecimiento de la seguridad basadas en estándares internacionales como NIST 800-61 y CIS Controls.