Pasar al contenido principal

Así entrenan los expertos en ciberseguridad de Telefónica: dos guerrillas de hackers profesionales luchan a diario en secreto para prepararse ante ciberataques reales

Hacker.
Getty Images/sestovic

  • Las grandes empresas apuestan su ciberseguridad al entrenamiento diario de hackers que se reparten entre equipos 'azules' y 'rojos'.
  • En Telefónica, el Blue Team se encarga de defender a la compañía y a sus clientes. El Red Team es el encargado de perseguir objetivos, atacar a la firma y detectar agujeros de seguridad.
  • El objetivo no es otro que segurizar todavía más la infraestructura de la compañía telecomunicaciones y la de sus clientes. Hay un Red Team en cada punto del mundo en el que Telefónica tiene presencia.
  • Business Insider España entrevista a Alberto Cuesta, gerente del Red Team Global de Telefónica; Martina Matarí, miembro del Blue Team de la compañía; y a Ignacio Brihuega, coordinador técnico de hacking en ElevenPaths.
  • Así entrenan estos hackers responsables de mejorar la ciberseguridad de la multinacional española y de todos sus clientes.
  • Descubre más historias en Business Insider España.

La crisis del coronavirus no ha supuesto un freno para la industria de la ciberseguridad.  

Al contrario, las amenazas se multiplican y son cada vez más sofisticadas. Un informe elaborado por las unidades de ciberexpertos de varias de las compañías de telecomunicaciones más importantes del mundo —entre ellas, Telefónica— advertía hace unas semanas de que las amenazas en la red se habían multiplicado un 2.000% durante la pandemia.

En los mismos términos concluye el Cyber Attack Trends: 2020 Mid-Year Report, un informe elaborado por Check Point sobre los 6 primeros meses de año que detalla que las compañías españolas han sufrido, de media, 454 ciberataques a la semana.

La firma de análisis de mercados, Canalys, apunta que, incluso en el "peor" de los escenarios, la inversión global en la industria de la ciberseguridad seguirá creciendo. Lo hará solo un 2,5% en el caso de que los presupuestos para sistemas informáticos se vean muy afectados por la crisis del COVID-19.

Leer más: El Gobierno movilizará 140.000 millones de euros en 5 años para digitalizar la economía: los 10 objetivos de la estrategia España Digital 2025

De lo contrario, el crecimiento aumentará hasta un 5,6%.

Pero, aunque la inversión no pare de crecer, la innovación y la búsqueda de oportunidades por parte de los malos siempre está ahí. Los ciberdelincuentes buscan constantantemente nuevas formas de perpetrar ciberataques. Por eso, las compañías nunca pueden bajar la guardia.

Aquí entran en juego una serie de conceptos esencialmente militares que se han convertido en una práctica muy extendida entre los expertos en ciberseguridad.

Uno son los Red Team y Blue Team de las grandes compañías. Telefónica Tech tiene un equipo rojo y un equipo azul de hackers cuya rutina, explicada de forma sencilla, es atacarse y defenderse constantemente el uno del otro. El propósito: segurizar al máximo la infraestructura en red de la compañía de telecomunicaciones... y la de sus clientes.

Qué son y qué hacen el Blue Team y el Red Team de Telefónica

Alberto Cuesta es el gerente del Red Team Global en Telefónica. Él resume así qué son el Blue Team y el Red Team de la teleco: "Las actividades que se ejecutan desde el área del Blue Team serían todas aquellas relacionadas con la detección de amenazas y la respuesta a incidentes".

En la parte de "seguridad ofensiva", Cuesta señala que Telefónica también tiene un equipo que realiza "una serie de actividades que se asimilarían con el hacking más tradicional".

En otras palabras: el Blue Team y el Red Team de Telefónica son dos equipos de hackers. Los primeros, encargados de proteger y defender los sistemas informáticos de la compañía. Los segundos, encargados de realizar tests y ataques controlados contra la firma y contra los primeros.

"El Red Team tiene objetivos y herramientas propias, no tiene por qué compartir esa infraestructura o no tiene por qué trabajar de forma coordinada", continúa Cuesta.

Este organigrama de equipo azul y equipo rojo se replica en multitud de empresas. Business Insider España ha podido entrevistar a hackers de los equipos de Telefónica. Todos trabajan para su división de ciberseguridad, ElevenPaths.

En qué se diferencia un Red Team y un hacker que hace 'pentesting'

Junto con los Blue Team y los Red Team, hay una serie de conceptos específicos de la industria de la ciberseguridad que también son esenciales en ElevenPaths y en Telefónica. Son los test de penetración, el pentesting que hacen los pentesters.

Si bien un pentester puede tener "conocimientos muy similares" a un experto en ciberseguridad que forme parte de un Red Team, la diferencia radica en que las labores de los primeros son concretas y tienen objetivos muy definidos, mientras que la estrategia de "autoataques" controlados la dirige a medio y largo plazo este equipo rojo.

"Un pentesting al final está acotado por la ejecución de una prueba y por un alcance mucho más limitado. La ejecución del test puede ser sobre una aplicación, sobre una web, sobre el perímetro de un cliente, con objetivos identificados", detalla Cuesta.

En el Red Team, "el enfoque es distinto". ¿Por qué?  "El alcance es mucho más ambiguo. Hay una primera parte de reconocimiento de objetivos del equipo para ver cuáles podrían ser los vectores de ataque con los que actuar a largo plazo. Se ejecutan en líneas temporales mayores, de mínimo 3 meses".

El retrato es el siguiente: Telefónica trabaja con varios grupos de hackers. El Blue Team defiende las murallas tecnológicas de la compañía. Los pentesters son los responsables de realizar ataques furtivos, concretos, sobre objetivos definidos.

Y el Red Team es el responsable de estar atacando siempre, constantemente, para detectar cualquier posible brecha y mantener alerta al resto de sus compañeros.

El pentesting, por su parte, es una técnica muy habitual en hackers independientes que participan en plataformas de bug bounty, un fenómeno por el que estos ciberexpertos pueden ser recompensados económicamente por las compañías en las que detecten brechas de ciberseguridad.

De hecho, ElevenPaths está trabajando para lanzar, antes de que acabe 2020, su propia plataforma de bug bounty.

No solo atacan (para proteger) a Telefónica

Centro de datos de Telefónica en Alcalá de Henares (Madrid)
Ferrovial

Segurizan a Telefónica, pero también a todos los clientes de ElevenPaths que quieran contar con equipos Blue Team, Red Team o expertos en el pentesting a su servicio.

"Estos servicios se los ofrecemos a los clientes de Telefónica y de ElevenPaths: ofrecemos la capacidad de tener equipos externos muy especializados, formados por expertos en gestión de incidentes, en análisis forense, en inteligencia", detalla Cuesta.

Leer más: Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

Son servicios, incide, "para dar respuesta a incidentes cada vez más comunes. Esto lo vemos constantemente en las noticias, cada dos por tres se detecta cómo grandes corporaciones se han visto comprometidas por ransomware u otros tipos de ataques".

"Ahí es cuando actuamos, cuando enviamos un equipo de Blue Team para gestionar incidentes y hacer análisis forenses".

El Blue Team, siempre alerta

Cuesta recuerda que estos servicios de Red Team y Blue Team los utiliza la propia teleco, pero también sus clientes. Es un producto enfocado a negocio entre empresas (B2B). De hecho, incide en lo positivo que es que haya equipos de Red Team o Blue Team externos.

La razón es que, al contar con un equipo de Red Team haciendo una auditoría atacando —de forma controlada— a una compañía, se consigue "mejorar la capacidad de acción" de los defensores de la infraestructura y ayuda a detectar "posibles puntos ciegos que puedan tener los clientes en sus sistemas de monitoreo de la red".

Lo mismo ocurre con el Blue Team. En ciberseguridad, estos Blue Team son los que mantienen las defensas cibernéticas de una compañía a salvo de fisuras. El problema es cuando hay un incidente digital: también suelen ser ellos los primeros en desplegarse.

Martina Matarí es analista de detección y respuesta de amenazas digitales y forma parte del Blue Team de Telefónica. "Cuando en un incidente toda tu organización está patas arriba y el personal asustado, es bueno contar con un equipo externo de respuesta".

"Aliviamos la presión a los equipos de nuestros clientes".

Leer más: Apple está 'regalando' unos iPhone especiales a hackers de primer nivel para que ayuden a mejorar su ciberseguridad

El problema de la industria de la ciberseguridad es que el término existe porque hay organizaciones e individuos que llevan a cabo acciones "ciberofensivas". Y ya se sabe que los malos no tienen horarios.

La propia Matarí lo reconoce. Muchas veces, cuando tiene que gestionar un incidente de uno de los clientes de ElevenPaths, lo hace a veces "con un Red Bull en la mano", a expensas de que lo que haya que afrontar pueda llevar horas.

Por eso, considera que el entrenamiento al que se exponen con la labor simultánea del Red Team en Telefónica les sirve para estar "preparados" para el nivel de estrés al que se pueden ver sometidos: "Hay que soportar una presión bastante grande cuando se trabaja en equipos de ciberseguridad, aunque estamos todos preparados".

Así se pone en marcha un operativo frente a un ciberincidente

Alberto Cuesta reconoce, como su compañera Matarí, que los ciberincidentes pueden tener lugar en cualquier momento. También a primera hora de un sábado. "Por eso lo que tenemos con los clientes es un protocolo determinado".

Este consiste en que, cuando se detecta un incidente por parte de los técnicos de sistema del cliente, este se eleva directamente al Security Operation Centre (SOC) de Telefónica. Si es un incidente crítico, pasará a ser considerado un incidente de nivel 2.

Solo en los incidentes más graves se escalará a un nivel 3 de gravedad, momento en el cual desde el SOC se llama al Digital Forensic Incident Response, el equipo de respuesta y análisis forense de incidentes digitales.

Leer más: Estos hackers españoles están instalando una red de balizas digitales para estudiar cómo es la ciberguerra que se está librando de forma invisible a tus ojos

Estos equipos se despliegan o bien de forma remota o incluso acuden a las instalaciones del cliente para tener acceso directo a las máquinas. Sea la hora que sea. Estos equipos de entre 4 o 5 hackers llegan y tratan de mantener la calma y la sangre fría que les exige el puesto: también de ello depende que no cunda el pánico entre las víctimas.

Ignacio Brihuega, el coordinador técnico de hacking en ElevenPaths, también ha hablado con Business Insider España. Lo hace sobre la relación entre los Blue Team y los Red Team.

Explica que cuando el Red Team ataca a una compañía, el Blue Team que tiene que reaccionar "no tiene ningún tipo de información para que el objetivo sea lo más real posible". Y detalla: "A veces supone un susto, al no saber que se trata de un ataque controlado e imaginar que el ciberataque es real".

"Pero es mejor pasar ese susto a que se saquen las vergüenzas".

Y además