By Sol González, Cybersecurity Consultan
Durante uno de nuestros recientes webinars, un asistente hizo una pregunta que captó de inmediato nuestra atención:
«¿Cómo puede una organización determinar su grado de madurez para realizar pruebas de ethical hacking?»
Esta pregunta no solo es válida, sino que refleja una inquietud común en muchas empresas. La seguridad ofensiva es un camino progresivo, pero sin un marco claro, avanzar puede convertirse en un desafío. Algunas organizaciones invierten en pruebas sin estar preparadas para interpretarlas o aprovechar sus resultados, mientras que otras subestiman los riesgos por no evaluar correctamente su nivel de exposición.
No todas las empresas necesitan el mismo enfoque. Sin una estrategia bien definida, es fácil caer en inversiones ineficientes o implementar pruebas que no se alinean con la realidad de la organización. La clave está en entender en qué punto del camino se encuentra cada empresa y cómo puede evolucionar de manera estructurada para fortalecer su postura de seguridad.
Para abordar esta problemática, utilizamos un enfoque estructurado basado en la matriz de madurez en ethical hacking, un modelo que permite a las organizaciones evaluar su nivel actual de preparación y definir los pasos necesarios para evolucionar hacia un esquema de seguridad ofensiva más sólido y efectivo.
Matriz de madurez en ethical hacking
Este modelo establece seis niveles de madurez, cada uno con características y objetivos específicos:
Ilustración 1 – Matriz de madurez del ethical hacking
A continuación, se describirán cada uno de ellos:
1. Vulnerability scanning (escaneo de vulnerabilidades)
En este nivel inicial, las organizaciones implementan herramientas automatizadas para detectar vulnerabilidades en su infraestructura de TI. Si bien es un primer paso importante, los escaneos pueden generar falsos positivos y no siempre reflejan el impacto real de una vulnerabilidad dentro del contexto del negocio.
2. Vulnerability assessment (evaluación de vulnerabilidades)
Aquí se da un paso más allá del escaneo, analizando y priorizando las vulnerabilidades detectadas para comprender su nivel de riesgo y urgencia. Este proceso permite a las organizaciones tomar decisiones más informadas sobre qué remediaciones deben abordarse con prioridad.
3. Penetration testing (pruebas de penetración)
Las pruebas de penetración permiten simular ataques reales en un entorno controlado, evaluando hasta qué punto una vulnerabilidad puede ser explotada por un actor de amenaza. Este nivel brinda una visión más realista del impacto de las brechas de seguridad y mide la capacidad de respuesta de la organización ante un posible incidente.
4. Red teaming
En este nivel, se implementan ejercicios de red team, que buscan simular técnicas utilizadas por actores de amenazas con el objetivo de evaluar la detección y respuesta del equipo de defensa. A diferencia de una prueba de penetración tradicional, el enfoque red team se centra en evadir los controles de seguridad y medir la resiliencia organizacional.
5. Purple teaming
Este enfoque combina las tácticas ofensivas de red team con el conocimiento defensivo del blue team, lo que permite una colaboración que optimiza la detección y respuesta ante amenazas. Su objetivo es mejorar la postura de seguridad en tiempo real, alineando los aprendizajes de los ejercicios ofensivos con la estrategia de defensa de la organización. Para ello, se seleccionan distintas tácticas, técnicas y procedimientos (TTPs) para poder replicarlas dentro de la organización.
6. Adversary emulation (emulación de adversarios)
Este nivel representa la fase más avanzada de madurez en seguridad ofensiva. Se replican tácticas, técnicas y procedimientos (TTPs) de grupos de amenaza reales utilizando marcos como MITRE ATT&CK. La emulación de adversarios permite a las organizaciones evaluar su capacidad de respuesta frente a actores maliciosos específicos, asegurando que los controles de seguridad sean eficaces ante escenarios reales.
Este servicio combina estratégicamente Threat Intelligence y Red Teaming. Con base en la industria y el país en los que opera la organización, se diseña un plan de emulación alineado con los actores de amenaza más relevantes, según la inteligencia de amenazas.
A continuación, brindamos ejemplos claros de cómo se podría emplear este servicio en organizaciones:
- Sector financiero en América del Norte: Un banco en EE. UU. podría beneficiarse de la emulación de APT38, un grupo vinculado a Corea del Norte, conocido por ataques a instituciones financieras con el objetivo de robar fondos mediante ataques a la infraestructura de pagos SWIFT.
- Sector gubernamental en América Latina: Una entidad pública de Chile podría emular a Machete, un grupo APT que ha atacado gobiernos latinoamericanos mediante campañas de ciberespionaje dirigidas a entidades militares y diplomáticas.
Estos escenarios permiten a las organizaciones prepararse de manera específica contra amenazas reales, y optimizar su capacidad de detección y respuesta frente a adversarios que representan riesgos concretos para su industria y región.
Red Team, Purple Team y Adversary emulation:
Estos tres tipos de servicios suelen confundirse con frecuencia. Por ello, a continuación, presentamos un cuadro comparativo que destaca sus principales diferencias:
| Hacia la emulación de adversarios | ||||
| Servicio | Propósito Principal | Método | Resultados Esperados | Nivel de Madurez |
 |
Simular ataques ofensivos para evaluar la respuesta del equipo defensor (Blue Team). | Uso de técnicas ofensivas para comprometer sistemas, sin alinearse estrictamente a TTPs reales. | Evaluación de la capacidad de detección y respuesta del equipo de seguridad. | Avanzado |
 |
Mejorar la colaboración entre los equipos ofensivos (Red Team) y defensivos (Blue Team). | Pruebas colaborativas para identificar brechas y diseñar mejoras conjuntas en detección. | Mejora de la visibilidad y tiempos de respuesta ante incidentes. | Avanzado |
 |
Emular TTPs reales de grupos APT basadas en inteligencia específica, priorizando amenazas reales. | Selección y emulación conjunta de escenarios relevantes, con uso de herramientas auténticas. | Evaluación exhaustiva de resiliencia frente a ataques reales y plan de acción detallado. | Muy Avanzado |
¿En qué nivel se encuentra su organización?
La evolución en seguridad ofensiva debe ser estratégica y alineada con la capacidad de respuesta de la organización. Identificar el nivel actual de madurez es fundamental para determinar los pasos adecuados a seguir.
- Si la organización solo realiza escaneos de vulnerabilidades, es momento de avanzar hacia la evaluación y priorización de riesgos.
- Si ya se llevan a cabo pruebas de penetración, se puede fortalecer la estrategia con ejercicios de red teaming.
- Si el equipo de seguridad busca optimizar la detección y respuesta en tiempo real, el siguiente paso es adoptar un enfoque de purple teaming.
- Si la empresa necesita evaluar su preparación ante amenazas avanzadas, la emulación de adversarios proporcionará una visión detallada de su postura de seguridad frente a actores de amenaza reales.
El futuro: seguridad basada en la emulación de adversarios
Las organizaciones con mayor madurez en seguridad ofensiva han evolucionado hacia un enfoque basado en Adversary Emulation, el cual no solo permite detectar vulnerabilidades, sino también comprender cómo actuarían actores de amenaza reales dentro del entorno empresarial.
En respuesta a esta necesidad, hemos desarrollado un servicio especializado en emulación de adversarios, basado en MITRE ATT&CK, que permite simular ataques dirigidos y evaluar la resiliencia de los sistemas en escenarios reales.
Si su organización busca llevar su estrategia de ethical hacking al siguiente nivel, nuestro equipo de expertos puede ayudarle a diseñar un enfoque personalizado de seguridad ofensiva.