Pentesting, tipos y metodologías, blue-red-purple team.
Gabriela Anabell Andrade Tubun
gabriela.andrade.tubun@udla.edu.ec
RESUMEN: El Pentesting o también llamado test de
penetración está diseñado para determinar el alcance de los
fallos de seguridad de un sistema. Asimismo, es una de las
prácticas más demandadas actualmente ya que gracias a
estos test, una empresa puede llegar a saber a qué peligros
está expuesta y cuál es el nivel de eficiencia de sus defensas.
Debido a de los fraudes y robos de información sufridos por
numerosas empresas, surge la práctica del Pentesting. Toda
esta demanda ha impulsado un mercado en el que se han
puesto de moda la contratación de los llamados, por un lado,
"blue teams" para bloquear, detectar y prevenir ataques
informáticos y, por otro lado, los "red teams" a cargo de
escanear, detectar y explotar las vulnerabilidades. Es decir, un
equipo para defensa y otro para ataque además que desde
hace tiempo se habla de un tercer equipo, el denominado
"purple team", que, se trata de un "red team" que tiene como
objetivo formar y entrenar un "blue team".
PALABRAS CLAVE: pentesting, vulnerabilidad, sistemas
informáticos.
ABSTRACT: Pentesting, also known as penetration testing, is
designed to determine the extent of security flaws in a system.
It is also one of the most demanded practices nowadays
because thanks to these tests, a company can get to know to
what dangers it is exposed and what is the level of efficiency of
its defenses. Due to the frauds and thefts of information
suffered by numerous companies, the practice of Pentesting
arises. All this demand has boosted a market in which it has
become fashionable to hire so-called "blue teams" to block,
detect and prevent computer attacks, on the one hand, and
"red teams" in charge of scanning, detecting and exploiting
vulnerabilities, on the other. In other words, one team for
defense and another for attack, and for some time now there
has been talk of a third team, the so-called "purple team",
which is a "red team" whose objective is to form and train a
"blue team".
KEY WORDS: ,pentesting, vulnerability, computer systems.
1 QUE ES PENTESTING
Las pruebas de penetración (también conocidas como pruebas
de lápiz) permiten a los expertos en ciberseguridad (en este
caso, los pentesters) identificar vulnerabilidades y debilidades
en el sistema de seguridad que un atacante puede usar, tanto
a nivel virtual como físico.
1
Desde hace unos años invertir en ciberseguridad es
imprescindible para todo tipo de empresa, al menos para que
contenga o evite cualquier especie de ciberataque. Hoy en día
todas las organizaciones se enfrentan a riesgos que pueden
poner en peligro su sistema y su información confidencial.
Debido a los fraudes y ataques cibernéticos sufridos por las
entidades, se ha puesto en marcha el pentesting o testeador
de penetración y es una de las prácticas más demandadas
actualmente, ya que gracias a este tipo de exámenes las
empresas pueden poner remedio a sus debilidades antes de
que lo hagan los ciberdelincuentes.
El pentesting realmente es una forma de hacking, solo que
esta práctica es totalmente legal, ya que cuenta con el
consentimiento de los propietarios de los equipos que se van a
testear, además de tener la intención de causar un daño real
2 TIPOS DE PENTESTING (PRUEBAS DE
PENETRACIÓN)
2.1 WHITE BOX O CAJA BLANCA
Este tipo de pentester conoce todos los datos del sistema y
suele formar parte del equipo técnico de la empresa. Tiene
toda la información sobre la estructura, datos, IP, logings,
contraseñas, firewords, etc. Con estos datos preliminares la
prueba es suficientemente certera a la hora de descubrir los
fallos y las medidas que se deben tomar. Es el Pentest más
completo y este método forma parte de un análisis integral,
que evalúa toda la infraestructura de red. Al disponer de un
volumen tan alto de información, suele realizarse por
miembros del propio equipo de TI de la empresa.
2.2 BLACK BOX O CAJA NEGRA
Este tipo de pentester, no dispone de ningún tipo de
información sobre el objetivo. Es casi como una prueba a
ciegas y el más cercano a seguir las características de un
ataque externo. Su actuación es la más similar a la de los
cibercriminales. Esto ayuda a que el simulacro sea lo más
verídico posible. Es una prueba a ciegas de la estructura de la
red. Dadas estas características se trata de una gran
experiencia para la empresa, ya que es un buen método para
reconocer las fragilidades del sistema informático de un
negocio.
2.3 GREY BOX O CAJA GRIS
Este tipo de test sería una mezcla entre los dos anteriores, es
decir, se posee ya cierta información, pero no la suficiente, por
lo que se invertirá tiempo y recursos para identificar las
vulnerabilidades y amenazas en base a la cantidad de
información que se tenga, dada esta forma, el auditor invertirá
tiempo y recursos para identificar las debilidades y amenazas
basándose en la cantidad de información que ya dispone Es el
tipo de pentest más recomendado ya que se necesitará tiempo
y medios para poder realizar este test de penetración en su
totalidad.
3 MÉTODOS Y FASES DE PENTESTING
Una vez se ha determinado el tipo de prueba a realizar, el
siguiente paso es elegir el método. Esta elección se basa en
las necesidades existentes y en función de las características
del sistema, o de los requerimientos de la empresa.
Estos son algunos de los métodos de pentesting:
Tabla 1. Métodos de pentesting y su descripción
reportes. Uno técnico para los administradores del sistema y
un reporte ejecutivo dirigido a la mesa directiva.
4 EQUIPOS DE CIBERSEGURIDAD
El sector de la ciberseguridad está en continua evolución y es
necesario estar preparado para cada una de las posibles
situaciones que puedan ocurrir. Es por eso que existen
diferentes equipos de ciberseguridad.
Los términos Red Team y Blue Team se usan comúnmente
para describir equipos que usan sus habilidades para imitar las
técnicas de ataque que los “enemigos” podrían usar, y los
equipos que usan sus habilidades para defender. De hecho,
estos equipos juegan un papel importante en la defensa contra
ataques cibernéticos avanzados que amenazan las
comunicaciones comerciales, los datos confidenciales de los
clientes o los secretos comerciales.

ISSAF Organiza la información alrededor de los

Information criterios de evaluación, revisados por
Systems expertos.
Security
Assessment
Framework
PCI DSS Este método fue desarrollado por las
compañías de tarjetas de débito y de
Payment Card
crédito y sirve como guía para las
Industry Data
organizaciones que procesan, almacenan
Security
y transmiten datos de los titulares de las
Standard)
tarjetas.
PTES
Es puesto en práctica por muchos
Penetration profesionales altamente reconocidos del
Testing sector, además de ser un modelo a seguir
Execution en libros de aprendizaje asociados al
Standard pentesting.
OSSTMM Figura 1. Pirámide BAD (Construir, Atacar, Defender).
Es uno de los primeros acercamientos a
Manual de la una estructura global de concepto de
Metodología seguridad. Este modelo es referente en
Abierta de instituciones que precisan de un 4.1 RED TEAM
Testeo de pentesting de calidad, ordenado y
Seguridad eficiente. Es el equipo que nombramos seguridad ofensiva y está
formado por profesionales de la seguridad que actúan como
adversarios para superar los controles de ciberseguridad.
El Red Team ataca el sistema de manera radical para probar
la eficacia del programa de seguridad. Este ataque no es
3.1 AUDITORIA O FASES DEL PENTESTING avisado para que la defensa sea con máxima objetividad y ver
cómo sería un ataque real. Los ataques realizados pueden ser
El proceso a la hora de llevar a cabo una auditoría se divide en interno de la propia empresa o puede ser de una empresa
cinco etapas: externa. Los equipos suelen estar formados por hackers éticos
Reconocimiento: La primera etapa es la de planificación y el que evalúan la seguridad de manera objetiva.
reconocimiento. Se define el alcance y los objetivos de la Se suele confundir con la figura del pentesters ya que hay
prueba. cierta superposición entre sus funciones y habilidades, pero no
Análisis de vulnerabilidades: El segundo paso es entender son lo mismo. Los pentesters realizan un proceso de intrusión
cómo responderá el sistema al que se está intentando penetrar con técnicas de pivoting, ingeniería social y otras pruebas de
a varios intentos de intrusión. hacking que finaliza con un informe en el que se identifican
Modelado de amenazas: Una vez ya se tiene toda la vulnerabilidades.
información, se elabora una representación estructurada de
toda la información que afecta a la seguridad de una Utilizan una gran variedad de métodos y herramientas para
aplicación. explotar y derrumbar las debilidades y vulnerabilidades de una
Explotación: El modelo nos ayuda a ver de qué forma se red como phishing, identificación de vulnerabilidades, intrusión
ataca el sistema, por qué puerto acceder. Si la intrusión se ha de firewall, etc. Es importante tener en cuenta que estos
llevado con éxito. equipos utilizarán todos los medios necesarios, según los
Elaboración de informes: se trata de redactar todo los fallos y términos del compromiso, para ingresar en un sistema.
mejoras en seguridad detectadas. Se realizan dos tipos de

2
Dependiendo de la vulnerabilidad, pueden implementar
malware para infectar host o incluso eludir los controles de
seguridad física clonando tarjetas de acceso.
5 REFERENCIAS
[1] Covadonga Carrasco. (2021, octubre 19) [online] Disponible
en: https://www.thebridge.tech/blog/que-es-un-blue-team
[2] Infotecs. (2021, septiembre 01). [online] Disponible en:
https://infotecs.mx/blog/red-team-vs-blue-team-parte-2.html
[3] Nicolás Raggi (2021, junio 15) [online] Dsiponible en :
https://www.welivesecurity.com/la-es/2021/01/15/emulacion-
adversarios-que-es-cual-es-su-objetivo/
[4] S2 GRUPO. (2021, octubre 27). [online] Disponible en :
https://www.securityartwork.es/2021/10/27/purple-team-pero-
esto-que-es-i/
[5] UNIR REVISTA. (2019, diciembre 19) [online] Dsiponible en :
https://www.unir.net/ingenieria/revista/red-blue-purple-team-
ciberseguridad/

Figura 2. Fases de red team

4.2 BLUE TEAM

Los Blue Team son equipos multidisciplinares de expertos en
ciberseguridad especializados en analizar el comportamiento
de los sistemas de una empresa y estudiar cómo se comportan
sus usuarios y equipos para poner al descubierto de forma
rápida cualquier incidente que pueda haber pasado inadvertido
para el resto de sistemas de seguridad.
El Blue Team tiene como objetivo analizar patrones y
comportamientos que salen de lo común. También se encarga
de realizar evaluaciones de las distintas amenazas que
pueden afectar a la organización, monitorear y recomendar
planes de actuación
Algunos de los procedimientos que pone en marcha un Blue
Team son:

Realizar auditorías del DNS, efectuar análisis de la huella

digital Instalar software de seguridad, controles de acceso al
cortafuegos, desplegar software IDS e IPS para controlar la
seguridad de detección y prevención, aplicar soluciones SIEM,
Implementar software antivirus o antimalware.

4.3 PURPLE TEAM

El equipo morado existe con el fin de asegurar y maximizar la
efectividad del Red team y el Blue team. Estos lo que hacen es
integrar las tácticas y controles defensivos del Blue team, junto
a las vulnerabilidades y amenazas conseguidas por el Red
team. Con este enfrentamiento se logra crear más posibles
casos de fallo o ataque y ver si el sistema está funcionando y
está preparado correctamente. Si la defensa en el
enfrentamiento es positiva se integran los nuevos baremos o
actualizaciones pertinentes. La idea del Purple Team es
coordinar y garantizar que los dos equipos anteriores
compartan información sobre las vulnerabilidades del sistema
para lograr una mejora constante.
El principal objetivo del Purple Team es gestionar la seguridad
de la organización, realizar pruebas para comprobar la eficacia
de los mecanismos y procedimientos de seguridad, tanto para
empresas como instituciones es fundamental implementar
controles de seguridad para minimizar los riesgos de un
ataque cibernético y proteger los datos que manejan.