Ejercicios Red Team en infraestructura crítica: tabletop hasta fuego vivo

Un ejercicio Red Team en infraestructura crítica no es una auditoría con guantes negros. Es la decisión deliberada de pagar por descubrir lo que un adversario descubriría gratis, en un momento y con un alcance que el operador todavía controla.

La confusión en el mercado es notable. Bajo la etiqueta "Red Team" caben hoy tres ejercicios que no comparten ni preparación, ni coste, ni nivel de riesgo, ni interlocutor en la organización del operador. El tabletop sobre una mesa de sala de juntas, el ejercicio Purple Team con el SOC propio sentado al lado del atacante, y el ejercicio a escala con intrusión física y técnica simultánea sobre activos productivos. Quien encarga uno creyendo que ha encargado otro, descubre la diferencia tarde, y la descubre cara. La tesis de este artículo, escrito desde la posición de un fabricante que provee tanto los activos atacados como los sistemas defensivos, es que las tres profundidades son legítimas y complementarias, pero cada una exige una preparación específica del operador antes de firmar el alcance. Sin esa preparación, el ejercicio no produce aprendizaje, produce daño.

La segunda observación, menos cómoda, es que la mayoría de operadores españoles de infraestructura crítica que se autodenominan "preparados para Red Team" no lo están. Lo están para una auditoría técnica estándar, lo están para un pentest sobre el perímetro corporativo, en algunos casos lo están para un escaneo controlado sobre la red OT. Pero el ejercicio Red Team en el sentido en que CNPIC, INCIBE y los marcos europeos lo entienden, con objetivos de negocio definidos, con libertad táctica del atacante y con observación instrumentada de la defensa, requiere una madurez organizativa que se construye en años, no en semanas.

Tres profundidades, tres contratos distintos

La profundidad de un ejercicio no se mide en días de trabajo del equipo atacante. Se mide en cuánto del entorno productivo real se expone a la prueba. Esa es la variable que define el coste, la preparación y el seguro necesarios.

El primer nivel es el ejercicio de mesa. Tabletop en la jerga internacional, ejercicio dirigido en la documentación de CCN-CERT. Se reúnen en una sala los responsables operativos, de ciberseguridad, de comunicación, de continuidad de negocio y, según el escenario, los enlaces con el CNPIC o con la autoridad sectorial. Un facilitador presenta una situación, normalmente construida sobre incidentes reales documentados en el sector, y la organización responde con sus procedimientos sobre el papel. No se toca un solo sistema. El ejercicio dura entre cuatro horas y dos días. Su valor está en revelar incoherencias entre los planes, en mostrar quién no sabe a quién llamar, y en forzar una conversación entre direcciones que rara vez ocurre fuera del incidente real. Su limitación es estructural. No prueba si las herramientas funcionan, sólo si las personas creen saber qué harían.

El segundo nivel es el ejercicio Purple Team, donde un equipo atacante ejecuta tácticas conocidas sobre entornos previamente acordados, con el equipo defensivo observando en tiempo real. La intención no es sorprender al SOC, es calibrarlo. Se mide qué se detecta, en cuánto tiempo, con qué confianza, y qué pasa a la cola de falsos positivos. Aquí ya hay sistemas implicados, pero normalmente entornos de pre-producción, copias o segmentos aislados. El riesgo de impacto operativo es bajo, el aprendizaje técnico es alto. Es el nivel donde la mayoría de operadores debería empezar, y donde muchos saltan demasiado pronto al tercero.

El tercer nivel es el ejercicio Red Team completo. Objetivo de negocio definido por la dirección, libertad táctica para el equipo atacante, ventana de ejecución de varias semanas, posibilidad de intrusión física sobre instalaciones reales y, en algunos casos, sobre activos OT productivos en momentos de baja carga. Aquí entra todo lo que el operador en una situación real enfrentaría: ingeniería social sobre personal, manipulación de proveedores, acceso a través de contratistas, intentos físicos sobre vallas, accesos, salas técnicas. La diferencia con un incidente real es que existe un canal cerrado entre el equipo atacante y un comité de control del lado del operador, que puede detener el ejercicio en cualquier momento. Este nivel cuesta entre cinco y veinte veces más que un Purple Team, exige cobertura aseguradora específica, y produce hallazgos que ningún otro formato produce.

Lo que el operador debe tener antes de empezar

Una organización que contrata un Red Team sin haber pasado por las dos profundidades anteriores está pagando por una experiencia que no va a saber procesar. El equipo atacante encontrará lo que estaba ahí desde hace años, el informe describirá veintisiete hallazgos críticos, y la dirección, abrumada, dejará el documento en un cajón. Ese resultado, contraintuitivamente, deja al operador peor que antes, porque ahora existe un documento firmado que enumera las debilidades sin que se haya hecho nada con ellas. En caso de incidente posterior, ese documento es prueba.

Antes de contratar el primer ejercicio serio, el operador necesita tres elementos. El primero es un inventario real de activos, no la versión que figura en la CMDB. La diferencia entre ambos es habitualmente del veinte al cuarenta por ciento en entornos OT, y el ejercicio Red Team usará precisamente esa diferencia para entrar. El segundo es un equipo defensivo identificable, con responsables nominales para detección, contención y comunicación, no una función diluida entre el SOC corporativo, el integrador externo y el responsable de planta. El tercero es una decisión de la dirección sobre qué resultados está dispuesta a aceptar. Un Red Team que descubre que el operador no puede aislar un segmento OT en menos de cuatro horas plantea una conversación de inversión que sólo tiene sentido si la dirección está dispuesta a tenerla.

La preparación también incluye la pieza jurídica. La AEPD ha sido clara en los últimos años respecto a los ejercicios que implican ingeniería social sobre empleados: el tratamiento de datos personales en ese contexto necesita base legal, información y, en muchos casos, intervención del comité de empresa. Los operadores que contratan Red Teams sin documentar esta pieza encuentran problemas que no son técnicos. Lo mismo ocurre con los seguros. Una póliza de ciber estándar habitualmente excluye los daños derivados de actuaciones autorizadas por el propio asegurado, lo que deja al operador descubierto si el ejercicio produce un impacto operativo no previsto. El endoso específico existe, pero hay que pedirlo, y cuesta.

Quién ejecuta importa más que cómo se anuncia

El mercado español de Red Team en infraestructura crítica es reducido. Hay quizá doce equipos con capacidad real para ejecutar el tercer nivel sobre entornos OT, y de ellos un subconjunto menor está acreditado bajo el esquema CCN-STIC o equivalentes europeos. Por debajo de ese círculo aparecen muchas firmas que ejecutan ejercicios honestos pero de nivel uno o dos vendidos como nivel tres. La distinción no siempre es fácil para el comprador, porque las presentaciones comerciales son parecidas y los precios pueden ser engañosamente similares.

Los criterios prácticos para distinguir son varios. La existencia de operadores en el equipo con experiencia real en ICS o SCADA, no certificaciones genéricas. La capacidad de presentar referencias en el sector específico del operador, verificables. La metodología documentada de control del ejercicio, con protocolos de aborto, comunicación cerrada y custodia de evidencias. El régimen de responsabilidad civil que el contratista trae a la mesa. Y un elemento que parece menor pero define la calidad del ejercicio: la disposición del equipo atacante a discutir alcance, no sólo a aceptarlo. Un Red Team que firma cualquier alcance que se le proponga es un Red Team que va a entregar el informe que el operador quiere leer, no el que necesita leer.

La cuestión de si el equipo atacante debe ser interno o externo merece tratamiento. Algunos operadores grandes mantienen capacidades Red Team internas, y eso tiene sentido para ejercicios continuos de calibración. Pero el ejercicio anual o bianual de mayor profundidad debe ser externo, por razones que tienen que ver con sesgo cognitivo más que con competencia técnica. El equipo interno conoce demasiado, asume demasiado, evita inconscientemente los caminos que sabe que están protegidos. El equipo externo entra con ignorancia productiva, y esa ignorancia es exactamente lo que el adversario real tiene.

La documentación que sobrevive al ejercicio

Un Red Team produce tres tipos de salida, y los tres importan en momentos distintos. El primero es el informe técnico detallado, con cronología de las acciones, técnicas empleadas en términos MITRE ATT&CK, evidencias de cada hallazgo y recomendaciones específicas. Este documento tiene una vida útil corta, doce a dieciocho meses, porque las técnicas evolucionan y la configuración del entorno cambia. Es el documento que el equipo de seguridad usa la semana siguiente al ejercicio para empezar a tapar agujeros.

El segundo es el informe ejecutivo, dirigido al comité de dirección. Aquí la mayoría de informes Red Team fallan, porque traducen mal el contenido técnico a impacto de negocio. Un informe ejecutivo útil no enumera hallazgos, narra escenarios. "Si el adversario hubiera buscado interrumpir la producción, la cadena de acciones X habría conseguido detener la planta durante un periodo estimado entre Y y Z horas, con coste asociado entre A y B millones." Esa formulación permite a la dirección decidir. La enumeración técnica no.

El tercero es la documentación de seguimiento, que el operador construye en los meses siguientes y que registra qué hallazgos se han remediado, cuáles se han aceptado como riesgo residual con justificación, y cuáles permanecen abiertos. Este documento es el que demuestra, ante un incidente posterior o ante un regulador como CNPIC o INCIBE, que el operador no se limitó a contratar el ejercicio, sino que lo procesó. La diferencia entre un operador que ejecuta Red Teams y uno que aprende de ellos está exactamente en la calidad de esta tercera pieza.

Una buena práctica, que tomo prestada de la cultura de aviación, es separar formalmente la documentación operativa del ejercicio de la documentación legal. La primera es interna, exhaustiva, autocrítica. La segunda es la que se entrega a terceros si el incidente real ocurre. Mezclar ambas es un error que algunos operadores cometen, y que reduce la disposición del equipo a documentar con sinceridad lo que aprendió. Sin sinceridad documentada, el ejercicio se ha hecho en vano.

Frecuencia, ritmo y fatiga organizativa

Existe la tentación, una vez instalada la práctica de Red Team, de aumentar la cadencia. Si uno al año es bueno, dos serán mejor, y trimestrales mejor todavía. Esta lógica es errónea. La organización defensora necesita tiempo para procesar los hallazgos, ejecutar remediaciones, validar que funcionan y consolidar el aprendizaje. Encadenar ejercicios sin ese ciclo produce fatiga, escepticismo y, paradójicamente, peor rendimiento defensivo.

El ritmo razonable para un operador de infraestructura crítica combina los tres niveles en cadencias distintas. Tabletop dos a cuatro veces al año, integrados en los ciclos de revisión de planes de continuidad. Purple Team una o dos veces al año, alternando focos entre entornos IT, OT, cadena de suministro y respuesta a incidentes. Red Team completo una vez al año o cada dieciocho meses, con alcance variable de modo que en cada edición se prueba un eje diferente del negocio. Esta cadencia combinada produce aprendizaje continuo sin saturación, y se corresponde con el modelo que algunos operadores eléctricos y de hidrocarburos en España ya han adoptado tras los incidentes de los últimos años.

La pregunta de si el calendario del ejercicio debe coordinarse con la autoridad nacional es delicada. CNPIC tiene visibilidad sobre los operadores designados, y los ejercicios sectoriales coordinados, como los que ENISA promueve a nivel europeo bajo el formato Cyber Europe, son una oportunidad valiosa para probar la coordinación entre operadores y autoridad. Pero el ejercicio interno del operador debe permanecer bajo su control, con su calendario y su alcance. Coordinarse no es delegar.

Lo que permanece

Un ejercicio Red Team bien ejecutado deja al operador con una imagen incómoda de sí mismo. Esa incomodidad es exactamente el producto que se ha comprado. Un ejercicio que deja a la dirección satisfecha es un ejercicio que ha fallado, porque la realidad del adversario nunca produce satisfacción, sólo aprendizaje. La pregunta que el comité de dirección debe hacerse el día después de recibir el informe no es si los resultados son buenos o malos, sino si está dispuesto a destinar el presupuesto y la atención que los hallazgos exigen.

La elección entre tabletop, Purple Team o Red Team completo no es una elección sobre profundidad técnica, es una elección sobre madurez organizativa. Un operador que no puede sostener un tabletop sin que aparezcan contradicciones graves entre direcciones no está preparado para un Purple Team. Un operador cuyo Purple Team produce hallazgos que no se remedian en seis meses no está preparado para un Red Team completo. La progresión es lineal, y atajarla cuesta más que recorrerla.

En la conversación con operadores que considero útil mantener antes de cualquier compromiso mayor, el Camino I del trabajo que sostengo con BOSWAU + KNAUER es una hora confidencial, sin coste, sobre la situación específica del operador y sobre qué nivel de ejercicio tiene sentido para su madurez actual. Quien necesita ya un diagnóstico estructurado, el Camino II proporciona una auditoría de tres a cinco días que precede y orienta cualquier inversión en Red Team. Los argumentos completos sobre cómo un fabricante puede acompañar al operador en este recorrido figuran en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad".

Preguntas frecuentes

¿Qué profundidades existen?

Tres, claramente diferenciadas. El ejercicio de mesa o tabletop, donde se prueban procedimientos sobre el papel sin tocar sistemas. El Purple Team, donde un equipo atacante ejecuta técnicas conocidas con el equipo defensivo observando, normalmente sobre entornos no productivos. Y el Red Team completo, con objetivo de negocio, libertad táctica y posibilidad de intrusión física sobre activos reales. Cada nivel exige una preparación organizativa específica, un presupuesto entre tres y veinte veces superior al anterior, y produce un tipo distinto de aprendizaje. Saltar niveles sin preparación produce informes que la organización no sabe procesar.

¿Cada cuánto?

Un ritmo sostenible para un operador de infraestructura crítica combina tabletops dos a cuatro veces al año, Purple Team una o dos veces al año con focos rotativos, y un Red Team completo cada doce a dieciocho meses con alcance variable. Aumentar la frecuencia por encima de esa cadencia produce fatiga organizativa y reduce la calidad del aprendizaje, porque el equipo defensor necesita tiempo entre ejercicios para remediar hallazgos, validar las correcciones y consolidar el conocimiento. La calidad del seguimiento entre ejercicios importa más que la cantidad de ejercicios ejecutados.

¿Quién ejecuta?

Los tabletops pueden facilitarse internamente o con apoyo externo ligero. El Purple Team admite equipos internos si el operador mantiene capacidad propia, aunque la alternancia con externos produce mejores resultados. El Red Team completo debe ser externo, idealmente con acreditación bajo esquemas CCN-STIC o equivalentes europeos, con operadores que tengan experiencia real en entornos ICS u OT y con referencias verificables en el sector específico del operador. El criterio decisivo no es el precio sino la disposición del contratista a discutir el alcance y a documentar con rigor el régimen de control del ejercicio.

¿Cómo se documentan hallazgos?

Tres documentos distintos, con audiencias y vidas útiles diferentes. El informe técnico detallado, con cronología, técnicas en términos MITRE ATT&CK y evidencias, dirigido al equipo de seguridad para acción inmediata. El informe ejecutivo, que narra escenarios de impacto de negocio y permite a la dirección decidir inversiones, no enumera hallazgos técnicos. Y la documentación de seguimiento, que el operador construye en los meses posteriores y registra qué se ha remediado, qué se ha aceptado como riesgo residual y qué permanece abierto. Esta tercera pieza es la que demuestra ante un regulador que el ejercicio se procesó, no sólo se contrató.