Un equipo rojo es un grupo que finge ser un enemigo, intenta una intrusión física o digital contra una organización bajo la dirección de esa organización y luego informa para que la organización pueda mejorar sus defensas. Los equipos rojos trabajan para la organización o son contratados por la organización. Su trabajo es legal, pero puede sorprender a algunos empleados que tal vez no sepan que se está produciendo un equipo rojo o que puedan ser engañados por el equipo rojo. Algunas definiciones de equipo rojo son más amplias e incluyen cualquier grupo dentro de una organización que está dirigido a pensar de manera innovadora y buscar escenarios alternativos que se consideran menos plausibles. Esto puede ser una defensa importante contra las suposiciones falsas y el pensamiento grupal . El término equipo rojo se originó en la década de 1960 en los Estados Unidos.
El equipo rojo técnico se centra en comprometer redes y computadoras digitalmente. También puede haber un equipo azul , un término para los empleados de ciberseguridad que son responsables de defender las redes y computadoras de una organización contra ataques. En el equipo rojo técnico, se utilizan vectores de ataque para obtener acceso y luego se realiza un reconocimiento para descubrir más dispositivos potencialmente comprometidos. La búsqueda de credenciales implica buscar en una computadora credenciales como contraseñas y cookies de sesión y, una vez encontradas, pueden usarse para comprometer computadoras adicionales. Durante las intrusiones de terceros, un equipo rojo puede formar equipo con el equipo azul para ayudar a defender la organización. A menudo se utilizan reglas de enfrentamiento y procedimientos operativos estándar para garantizar que el equipo rojo no cause daños durante sus ejercicios.
El equipo rojo físico se centra en enviar un equipo para acceder a áreas restringidas. Esto se hace para probar y optimizar la seguridad física, como vallas, cámaras, alarmas, cerraduras y comportamiento de los empleados. Al igual que con los equipos rojos técnicos, las reglas de enfrentamiento se utilizan para garantizar que los equipos rojos no causen daños excesivos durante sus ejercicios. El equipo rojo físico a menudo implicará una fase de reconocimiento en la que se recopila información y se identifican las debilidades en la seguridad, y luego esa información se utilizará para realizar una operación (normalmente de noche) para obtener acceso físico a las instalaciones. Los dispositivos de seguridad serán identificados y derrotados utilizando herramientas y técnicas. A los equipos rojos físicos se les asignarán objetivos específicos, como obtener acceso a una sala de servidores y tomar un disco duro portátil, o acceder a la oficina de un ejecutivo y tomar documentos confidenciales.
Los equipos rojos se utilizan en varios campos, incluida la ciberseguridad , la seguridad aeroportuaria , las fuerzas del orden , el ejército y las agencias de inteligencia . En el gobierno de Estados Unidos , los equipos rojos son utilizados por el Ejército , la Infantería de Marina , el Departamento de Defensa , la Administración Federal de Aviación y la Administración de Seguridad del Transporte .
El concepto de equipo rojo y equipo azul surgió a principios de la década de 1960. Un ejemplo temprano de equipo rojo involucró al grupo de expertos RAND Corporation , que realizó simulaciones para el ejército de los Estados Unidos durante la Guerra Fría . El "equipo rojo" y el color rojo se utilizaron para representar a la Unión Soviética , y el "equipo azul" y el color azul se utilizaron para representar a los Estados Unidos. [1] Otro ejemplo temprano involucró al Secretario de Defensa de los Estados Unidos , Robert McNamara , quien reunió un equipo rojo y un equipo azul para explorar a qué contratista gubernamental se le debería otorgar un contrato de avión experimental. [1] Otro ejemplo temprano modeló la negociación de un tratado de control de armas y la evaluación de su eficacia. [1]
Los equipos rojos a veces se asocian con el "pensamiento contrario" y la lucha contra el pensamiento grupal, la tendencia de los grupos a hacer y mantener suposiciones incluso frente a la evidencia de lo contrario. Un ejemplo de un grupo que no fue llamado equipo rojo, pero que posiblemente fue uno de los primeros ejemplos de formación de un grupo para luchar contra el pensamiento grupal, es el Ipcha Mistabra israelí que se formó después de los fracasos de la toma de decisiones israelí durante la Guerra de Yom Kippur en 1973. El ataque contra Israel casi tomó a Israel por sorpresa a pesar de la amplia evidencia de un ataque inminente, y casi resultó en la derrota de Israel. Ipcha Mistabra se formó después de la guerra y se le asignó el deber de presentar siempre un análisis contrario, inesperado o poco ortodoxo de la política exterior y los informes de inteligencia, para que fuera menos probable que se pasaran por alto las cosas en el futuro. [2]
A principios de la década de 2000, hay ejemplos de equipos rojos que se utilizaban para ejercicios de mesa. Los socorristas suelen utilizar un ejercicio de mesa que implica actuar y planificar los peores escenarios, similar a jugar un juego de mesa . En respuesta a los ataques del 11 de septiembre , con el antiterrorismo en mente, la Agencia Central de Inteligencia creó una nueva Célula Roja , [3] y se utilizaron equipos rojos para modelar respuestas a guerras asimétricas como el terrorismo . [4] En respuesta a los fracasos de la guerra de Irak , los equipos rojos se volvieron más comunes en el ejército de los Estados Unidos . [5]
Con el tiempo, la práctica de los equipos rojos se expandió a otras industrias y organizaciones, incluidas corporaciones, agencias gubernamentales y organizaciones sin fines de lucro. El enfoque se ha vuelto cada vez más popular en el mundo de la ciberseguridad, donde se utilizan equipos rojos para simular ataques del mundo real a la infraestructura digital de una organización y probar la eficacia de sus medidas de ciberseguridad. [6]
El equipo rojo técnico implica probar la seguridad digital de una organización intentando infiltrarse digitalmente en sus redes informáticas.
Un equipo azul es un grupo encargado de defenderse de las intrusiones.
En ciberseguridad , una prueba de penetración involucra a piratas informáticos éticos ("pen testers") que intentan ingresar a un sistema informático, sin ningún elemento de sorpresa. La organización es consciente de la prueba de penetración y está preparada para montar una defensa. [7]
Un equipo rojo va un paso más allá y añade penetración física, ingeniería social y un elemento sorpresa. El equipo azul no recibe ningún aviso previo sobre un equipo rojo y lo tratará como una verdadera intrusión. [7] Una función de un equipo rojo interno permanente es mejorar la cultura de seguridad de la organización. [8]
Un equipo morado es la combinación temporal de ambos equipos y puede proporcionar respuestas rápidas de información durante una prueba. [9] [10] Una ventaja del equipo púrpura es que el equipo rojo puede lanzar ciertos ataques repetidamente, y el equipo azul puede usarlo para configurar el software de detección, calibrarlo y aumentar constantemente la tasa de detección. [11] Los equipos morados pueden participar en sesiones de "caza de amenazas", donde tanto el equipo rojo como el equipo azul buscan intrusos reales. También es beneficioso involucrar a otros empleados en el equipo morado, por ejemplo, ingenieros de software que pueden ayudar con el registro y las alertas de software, y gerentes que pueden ayudar a identificar los escenarios más perjudiciales desde el punto de vista financiero. [12] Uno de los peligros de los equipos morados es la complacencia y el desarrollo del pensamiento de grupo , que se puede combatir contratando personas con diferentes habilidades o contratando a un proveedor externo. [13]
Un equipo blanco es un grupo que supervisa y gestiona las operaciones entre los equipos rojos y los equipos azules. Por ejemplo, pueden ser los gerentes de una empresa los que determinan las reglas de enfrentamiento para el equipo rojo. [14]
El punto de entrada inicial de un equipo rojo o de un adversario se llama cabeza de playa. Un equipo azul maduro suele ser experto en encontrar la cabeza de playa y desalojar a los atacantes. Una función del equipo rojo es aumentar las habilidades del equipo azul. [15]
Al infiltrarse, hay un enfoque sigiloso "quirúrgico" que permanece fuera del radar del equipo azul y requiere un objetivo claro, y un enfoque ruidoso de "bombardeo en alfombra" que se parece más a un ataque de fuerza bruta. El bombardeo de alfombra suele ser el enfoque más útil para los equipos rojos, porque puede descubrir vulnerabilidades inesperadas. [dieciséis]
Existe una variedad de amenazas a la ciberseguridad. Las amenazas pueden variar desde algo tradicional, como piratear el controlador de dominio de la red , o algo menos ortodoxo, como configurar la minería de criptomonedas , o proporcionar demasiado acceso a los empleados a información de identificación personal (PII), lo que abre a la empresa al Reglamento General de Protección de Datos (GDPR). ) multas. [17] Cualquiera de estas amenazas puede agruparse en equipos rojos para explorar la gravedad del problema. Los ejercicios de mesa, en los que las intrusiones se representan sobre una mesa de forma similar a cómo se jugaría un juego de mesa, se pueden utilizar para simular intrusiones que son demasiado costosas, demasiado complicadas o ilegales para ejecutarlas en vivo. [18] Puede ser útil intentar intrusiones contra el equipo rojo y el equipo azul, además de objetivos más tradicionales. [19]
Una vez que se logra el acceso a una red, se puede realizar el reconocimiento. Los datos recopilados se pueden colocar en una base de datos gráfica , que es un software que traza visualmente nodos, relaciones y propiedades. Los nodos típicos pueden ser computadoras, usuarios o grupos de permisos. [20] Los equipos rojos generalmente tendrán muy buenas bases de datos gráficas de su propia organización, porque pueden utilizar la ventaja de jugar en casa , incluido el trabajo con el equipo azul para crear un mapa completo de la red y una lista completa de usuarios y administradores. [21] Se puede utilizar un lenguaje de consulta como Cypher para crear y modificar bases de datos de gráficos. [22] Es valioso colocar cualquier tipo de cuenta de administrador en la base de datos de gráficos, incluidos los administradores de herramientas de terceros como Amazon Web Services (AWS). [23] A veces los datos pueden exportarse desde herramientas y luego insertarse en la base de datos de gráficos. [24]
Una vez que el equipo rojo ha comprometido una computadora, un sitio web o un sistema, una técnica poderosa es la búsqueda de credenciales . Estos pueden ser en forma de contraseñas de texto claro , texto cifrado , hashes o tokens de acceso . El equipo rojo obtiene acceso a una computadora, busca credenciales que puedan usarse para acceder a una computadora diferente, luego esto se repite, con el objetivo de acceder a muchas computadoras. [25] Las credenciales se pueden robar desde muchas ubicaciones, incluidos archivos, repositorios de código fuente como Git , memoria de computadora y software de rastreo y registro. Se pueden utilizar técnicas como pasar la cookie y pasar el hash para acceder a sitios web y máquinas sin ingresar una contraseña. También se pueden utilizar técnicas como el reconocimiento óptico de caracteres (OCR), la explotación de contraseñas predeterminadas , la falsificación de una solicitud de credencial y el phishing . [26]
El equipo rojo puede utilizar programación informática y scripts de interfaz de línea de comandos (CLI) para automatizar algunas de sus tareas. Por ejemplo, los scripts CLI pueden utilizar el modelo de objetos componentes (COM) en máquinas Microsoft Windows para automatizar tareas en aplicaciones de Microsoft Office . Las tareas útiles pueden incluir enviar correos electrónicos, buscar documentos, cifrar o recuperar datos. Los equipos rojos pueden tomar el control de un navegador utilizando COM de Internet Explorer , la función de depuración remota de Google Chrome o el marco de prueba Selenium . [27]
Durante una intrusión real, el equipo rojo puede reutilizarse para trabajar con el equipo azul para ayudar en la defensa. Específicamente, pueden proporcionar un análisis de lo que probablemente intentarán hacer los intrusos a continuación. Durante una intrusión, tanto el equipo rojo como el equipo azul tienen la ventaja de jugar en casa porque están más familiarizados con las redes y sistemas de la organización que el intruso. [11]
El equipo rojo de una organización puede ser un objetivo atractivo para atacantes reales. Las máquinas de los miembros del equipo rojo pueden contener información confidencial sobre la organización. En respuesta, las máquinas de los miembros del equipo rojo suelen estar aseguradas. [28] Las técnicas para proteger las máquinas incluyen configurar el firewall del sistema operativo , restringir el acceso a Secure Shell (SSH) y Bluetooth , mejorar el registro y las alertas, eliminar archivos de forma segura y cifrar los discos duros. [29]
Una táctica es participar en una "defensa activa", que implica colocar señuelos y trampas para ayudar a rastrear la ubicación de los intrusos. [30] Estos honeypots pueden ayudar a alertar al equipo azul sobre una intrusión en la red que de otro modo podría no haber sido detectada. Se pueden utilizar varios programas para configurar un archivo honeypot según el sistema operativo: las herramientas de macOS incluyen OpenBMS, las herramientas de Linux incluyen complementos auditados y las herramientas de Windows incluyen Listas de control de acceso al sistema (SACL). Las notificaciones pueden incluir ventanas emergentes, correos electrónicos y escritura en un archivo de registro. [31] El monitoreo centralizado, donde los archivos de registro importantes se envían rápidamente al software de registro en una máquina diferente, es una técnica útil de defensa de la red. [32]
El uso de reglas de participación puede ayudar a delimitar qué sistemas están prohibidos, prevenir incidentes de seguridad y garantizar que se respete la privacidad de los empleados. [33] El uso de un procedimiento operativo estándar (POE) puede garantizar que se notifique e involucre a las personas adecuadas en la planificación, y mejorar el proceso del equipo rojo, haciéndolo maduro y repetible. [34] Las actividades del equipo rojo suelen tener un ritmo regular. [35]
El seguimiento de determinadas métricas o indicadores clave de rendimiento (KPI) puede ayudar a garantizar que un equipo rojo esté logrando el resultado deseado. Ejemplos de KPI del equipo rojo incluyen realizar una cierta cantidad de pruebas de penetración por año o hacer crecer el equipo con una cierta cantidad de pentesters dentro de un período de tiempo determinado. También puede resultar útil realizar un seguimiento del número de máquinas comprometidas, máquinas comprometidas y otras métricas relacionadas con la infiltración. Estas estadísticas se pueden representar gráficamente por día y colocarse en un panel que se muestra en el centro de operaciones de seguridad (SOC) para motivar al equipo azul a detectar y cerrar infracciones. [36]
Para identificar a los peores infractores, los compromisos se pueden graficar y agrupar según el lugar del software en el que se descubrieron, la ubicación de la oficina de la empresa, el cargo o el departamento. [37] Las simulaciones de Monte Carlo se pueden utilizar para identificar qué escenarios de intrusión son más probables, más dañinos o ambas cosas. [38] Se puede utilizar un modelo de madurez de prueba, un tipo de modelo de madurez de capacidad , para evaluar qué tan maduro es un equipo rojo y cuál es el siguiente paso para crecer. [39] Se puede consultar el Navegador MITRE ATT&CK , una lista de tácticas, técnicas y procedimientos (TTP), incluidas amenazas persistentes avanzadas (APT), para ver cuántos TTP está explotando un equipo rojo y brindar ideas adicionales para que los TTP utilicen. en el futuro. [40]
El equipo rojo físico o pruebas de penetración física [41] implica probar la seguridad física de una instalación, incluidas las prácticas de seguridad de sus empleados y equipos de seguridad. Ejemplos de equipos de seguridad incluyen cámaras de seguridad , cerraduras y vallas . En los equipos rojos físicos, las redes informáticas no suelen ser el objetivo. [42] A diferencia de la ciberseguridad, que normalmente tiene muchas capas de seguridad, es posible que solo haya una o dos capas de seguridad física presentes. [43]
Es útil tener un documento de "reglas de enfrentamiento" que se comparte con el cliente para especificar qué TTP se utilizarán, qué ubicaciones pueden ser objetivo, cuáles no, cuánto daño a equipos como cerraduras y puertas está permitido, cuál es el plan, cuáles son los hitos y cómo compartir información de contacto. [44] [45] Las reglas de enfrentamiento pueden actualizarse después de la fase de reconocimiento, con otra ronda de ida y vuelta entre el equipo rojo y el cliente. [46] Los datos recopilados durante la fase de reconocimiento se pueden utilizar para crear un plan operativo, tanto para uso interno como para enviarlo al cliente para su aprobación. [47]
Parte del equipo rojo físico es realizar reconocimiento. [48] El tipo de reconocimiento recopilado generalmente incluye información sobre personas, lugares, dispositivos de seguridad y clima. [49] El reconocimiento tiene un origen militar, y las técnicas de reconocimiento militar son aplicables a los equipos rojos físicos. El equipo de reconocimiento del equipo rojo puede incluir ropa militar, ya que no se rasga fácilmente, luces rojas para preservar la visión nocturna y ser menos detectables, radios y auriculares, cámara y trípode, binoculares, equipo de visión nocturna y una computadora portátil para todo clima. [50] Algunos métodos de comunicación de campo incluyen un auricular Bluetooth conectado a una conferencia telefónica celular durante el día y radios bidireccionales con auriculares durante la noche. [51] En caso de compromiso, los miembros del equipo rojo a menudo llevan una identificación y una carta de autorización con múltiples contactos fuera del horario laboral que pueden dar fe de la legalidad y legitimidad de las actividades del equipo rojo. [52]
Antes de que se produzca el reconocimiento físico, se puede recopilar inteligencia de fuente abierta (OSINT) investigando ubicaciones y miembros del personal a través de Internet, incluido el sitio web de la empresa, cuentas de redes sociales, motores de búsqueda, sitios web de mapas y ofertas de trabajo (que dan pistas sobre la tecnología). y software que utiliza la empresa). [53] Es una buena práctica realizar varios días de reconocimiento, realizar reconocimientos tanto de día como de noche, traer al menos tres operadores, utilizar un área de preparación cercana que esté fuera de la vista del objetivo y hacer reconocimiento e infiltración como dos viajes separados en lugar de combinarlos. [54]
Los equipos de reconocimiento pueden utilizar técnicas para ocultarse a sí mismos y al equipo. Por ejemplo, se puede alquilar una camioneta de pasajeros y se pueden oscurecer las ventanas para ocultar fotografías y videos del objetivo. [55] El reconocimiento puede ocultar el examen y la grabación en vídeo de las cerraduras de un edificio durante un recorrido, fingiendo estar hablando por teléfono. [56] En caso de compromiso, como que los empleados comiencen a sospechar, se puede ensayar una historia con anticipación hasta que se pueda recitar con confianza. Si el equipo se ha dividido, el compromiso de un operador puede resultar en que el líder del equipo retire a los demás operadores. [57] Se pueden usar cámaras de video ocultas para capturar imágenes para su posterior revisión, y se pueden realizar informes rápidamente después de abandonar el área para que la información nueva se documente rápidamente. [58]
La mayoría de las operaciones físicas del equipo rojo ocurren de noche, debido a la reducción de la seguridad de las instalaciones y para que la oscuridad pueda ocultar las actividades. [59] Una infiltración ideal suele ser invisible tanto fuera de la instalación (el acercamiento no es detectado por transeúntes ni dispositivos de seguridad) y dentro de la instalación (no se causan daños y no se golpea ni se deja nada fuera de lugar), y no alerta a nadie. que había un equipo rojo allí. [60]
El uso de una lista de carga puede ayudar a garantizar que no se olvide el equipo importante del equipo rojo. [61] El uso de equipo militar como chalecos MOLLE y pequeñas bolsas tácticas puede proporcionar lugares útiles para almacenar herramientas, pero tiene las desventajas de ser llamativo y aumentar el peso. [62] La ropa negra o el camuflaje oscuro pueden ser útiles en las zonas rurales, mientras que en las zonas urbanas puede preferirse la ropa de calle en tonos de gris y negro. [63] Otros elementos de disfraz urbano incluyen una bolsa para computadora portátil o un par de auriculares alrededor del cuello. Se pueden utilizar varios tipos de cubiertas para zapatos para minimizar las huellas tanto en exteriores como en interiores. [64]
La disciplina ligera (mantener al mínimo las luces de los vehículos, linternas y otras herramientas) reduce la posibilidad de compromiso. [59] Algunas tácticas de disciplina ligera incluyen el uso de linternas rojas, el uso de un solo vehículo y mantener las luces delanteras del vehículo apagadas. [59]
A veces hay cambios de seguridad entre el reconocimiento y la infiltración, por lo que es una buena práctica que los equipos que se acercan a un objetivo "evalúen y se aclimaten" para ver si se pueden ver nuevas medidas de seguridad. [65] Es más probable que los compromisos durante la infiltración ocurran durante el acercamiento a la instalación. [66] Los empleados, la seguridad, la policía y los transeúntes son los que más probablemente comprometan un equipo rojo físico. [67] Los transeúntes son más raros en las zonas rurales, pero también mucho más sospechosos. [68]
El movimiento adecuado puede ayudar a un equipo rojo a evitar ser visto mientras se acerca a un objetivo, y puede incluir apresurarse, gatear, evitar siluetas en colinas, caminar en formaciones como una sola fila y caminar en ráfagas cortas y luego hacer una pausa. [69] Se podrá utilizar señales manuales para reducir el ruido. [70]
Los dispositivos de seguridad comunes incluyen puertas, cerraduras, cercas, alarmas, sensores de movimiento y sensores de suelo. Las puertas y cerraduras suelen ser más rápidas y silenciosas para evitarlas con herramientas y cuñas , en lugar de forzarlas . [71] Las cerraduras RFID son comunes en las empresas, y los lectores RFID encubiertos combinados con ingeniería social durante el reconocimiento se pueden usar para duplicar la credencial de un empleado autorizado. [72] El alambre de púas en las cercas se puede evitar colocando una manta gruesa sobre él. [73] Las vallas antiescalada se pueden sortear con escaleras. [74]
A veces, las alarmas se pueden neutralizar con un bloqueador de radio que apunta a las frecuencias que utilizan las alarmas para sus comunicaciones internas y externas. [75] Los sensores de movimiento se pueden derrotar con un escudo especial del tamaño del cuerpo que bloquea la firma de calor de una persona. [76] Los sensores terrestres son propensos a dar falsos positivos, lo que puede llevar al personal de seguridad a no confiar en ellos o ignorarlos. [77]
Una vez dentro, si se sospecha que el edificio está ocupado, disfrazarse de limpiador o empleado usando la ropa adecuada es una buena táctica. [78] La disciplina del ruido suele ser importante una vez dentro de un edificio, ya que hay menos sonidos ambientales para enmascarar los ruidos del equipo rojo. [79]
Los equipos rojos generalmente tienen ubicaciones de objetivos seleccionadas y tareas planificadas previamente para cada equipo o miembro del equipo, como ingresar a una sala de servidores o a la oficina de un ejecutivo. Sin embargo, puede resultar difícil determinar de antemano la ubicación de una habitación, por lo que a menudo esto se descubre sobre la marcha. Leer las señales de ruta de salida de emergencia y el uso de un reloj con brújula pueden ayudar a navegar dentro de los edificios. [80]
Los edificios comerciales suelen tener algunas luces encendidas. Es una buena práctica no encender ni apagar las luces, ya que esto puede alertar a alguien. En cambio, se prefiere utilizar áreas que ya no están iluminadas para las operaciones del equipo rojo, con técnicas de aceleración y congelación para moverse rápidamente a través de áreas iluminadas. [81] A menudo se evita pararse a toda altura frente a las ventanas y entrar a los edificios a través de los vestíbulos debido al riesgo de ser visto. [82]
Se puede utilizar un boroscopio para mirar alrededor de las esquinas y debajo de las puertas, para ayudar a detectar personas, cámaras o detectores de movimiento. [83]
Una vez que se ha llegado a la sala objetivo, si es necesario encontrar algo, como un documento específico o un equipo específico, la sala se puede dividir en secciones, y cada miembro del equipo rojo se concentra en una sección. [84]
Las contraseñas suelen estar ubicadas debajo de los teclados. Se pueden utilizar técnicas para evitar alterar la colocación de objetos en las oficinas, como teclados y sillas, ya que a menudo se notará el ajuste de estos. [85] Las luces y cerraduras se pueden dejar en su estado original de encendidas o apagadas, bloqueadas o desbloqueadas. [86] Se pueden tomar medidas para garantizar que el equipo no se quede atrás, como tener una lista de todo el equipo traído y verificar que todos los artículos estén contabilizados. [87]
Es una buena práctica enviar informes de situación por radio (SITREP) al líder del equipo cuando suceden cosas inusuales. Luego, el líder del equipo puede decidir si la operación debe continuar, debe abortarse o si un miembro del equipo debe entregarse mostrando su carta de autorización y su identificación. [88] Cuando se enfrentan a civiles como empleados, los operadores del equipo rojo pueden intentar la ingeniería social. Cuando se enfrenta a las autoridades, es una buena práctica entregarse inmediatamente debido a las posibles consecuencias legales y de seguridad. [89]
La forma ideal de salir de una instalación es lenta y cuidadosamente, similar a cómo se logró entrar. A veces existe la necesidad de salir corriendo después de lograr el objetivo de una misión, pero esto no es una buena práctica. Salir lenta y cuidadosamente mantiene la conciencia situacional, en caso de que un área previamente vacía ahora tenga alguien dentro o acercándose. [90] Si bien el camino de entrada normalmente se toma durante la salida, también se puede utilizar una salida más cercana o alternativa. [91]
El objetivo de todos los miembros del equipo es llegar al punto de reunión, o posiblemente a un segundo punto de reunión de emergencia. El punto de reunión suele estar en un lugar diferente al punto de entrega. [92]
Las empresas privadas a veces utilizan equipos rojos para complementar sus procedimientos y personal de seguridad normales. Por ejemplo, Microsoft y Google utilizan equipos rojos para ayudar a proteger sus sistemas. [93] [94] Algunas instituciones financieras en Europa utilizan el marco TIBER-UE. [95]
Cuando se aplica al trabajo de inteligencia, el equipo rojo a veces se denomina análisis alternativo . [96] El análisis alternativo implica traer nuevos analistas para verificar las conclusiones de otro equipo, desafiar las suposiciones y asegurarse de que no se pase nada por alto. Se utilizaron tres equipos rojos para revisar la información de inteligencia que condujo al asesinato de Osama bin Laden en 2011, incluidos equipos rojos externos a la Agencia Central de Inteligencia, porque el lanzamiento de una operación militar en Pakistán tenía importantes consecuencias diplomáticas y de relaciones públicas, por lo que Era importante volver a verificar la inteligencia y las conclusiones del equipo original. [97]
Después de no poder anticipar la guerra de Yom Kippur, la Dirección de Inteligencia de las Fuerzas de Defensa de Israel formó un equipo rojo llamado Ipcha Mistabra ("al contrario") para reexaminar las suposiciones descartadas y evitar la complacencia. [2] La Organización del Tratado del Atlántico Norte (OTAN) utiliza análisis alternativos. [98]
Los militares suelen utilizar equipos rojos para análisis alternativos, simulaciones y sondas de vulnerabilidad. [99] En los juegos de guerra militares , la fuerza contraria (OPFOR) en un conflicto simulado puede denominarse Célula Roja. [100] El tema clave es que el adversario (equipo rojo) aprovecha tácticas, técnicas y equipos según corresponda para emular al actor deseado. El equipo rojo desafía la planificación operativa desempeñando el papel de un adversario consciente.
El Ministerio de Defensa del Reino Unido tiene un programa de equipo rojo. [101]
Los equipos rojos se utilizaron en las Fuerzas Armadas de los Estados Unidos con mucha más frecuencia después de que una Junta de Revisión de Ciencias de la Defensa de 2003 los recomendara para ayudar a prevenir las deficiencias que llevaron a los ataques del 11 de septiembre. El Ejército de EE. UU. creó la Oficina de Estudios Dirigidos del Ejército en 2004. Este fue el primer equipo rojo de nivel de servicio y hasta 2011 fue el más grande del Departamento de Defensa (DoD). [102] La Universidad de Estudios Militares y Culturales Extranjeros ofrece cursos para miembros y líderes del equipo rojo. La mayoría de los cursos para residentes se llevan a cabo en Fort Leavenworth y están dirigidos a estudiantes de la Escuela de Comando y Estado Mayor del Ejército de EE. UU. (CGSC) o escuelas equivalentes de nivel intermedio y superior. [103] Los cursos incluyen temas como el pensamiento crítico, la mitigación del pensamiento grupal, la empatía cultural y la autorreflexión. [104]
El concepto del equipo rojo del Cuerpo de Marines comenzó en 2010 cuando el Comandante del Cuerpo de Marines (CMC), general James F. Amos, intentó implementarlo. [105] Amos redactó un libro blanco titulado Red Teaming in the Marine Corps . En este documento, Amos analizó cómo el concepto de equipo rojo debe desafiar el proceso de planificación y toma de decisiones aplicando el pensamiento crítico desde el nivel táctico al estratégico. En junio de 2013, la Infantería de Marina dotó de personal a los alojamientos del equipo rojo descritos en el borrador del libro blanco. En la Infantería de Marina, todos los infantes de marina designados para ocupar puestos del equipo rojo completan cursos de capacitación del equipo rojo de seis o nueve semanas de duración proporcionados por la Universidad de Estudios Culturales y Militares Extranjeros (UFMCS). [106]
El Departamento de Defensa utiliza equipos cibernéticos para realizar evaluaciones adversas en sus redes. [107] Estos equipos rojos están certificados por la Agencia de Seguridad Nacional y acreditados por el Comando Estratégico de los Estados Unidos . [107]
La Administración Federal de Aviación de los Estados Unidos (FAA) ha estado implementando equipos rojos desde el vuelo 103 de Pan Am sobre Lockerbie , Escocia , que sufrió un ataque terrorista en 1988. Los equipos rojos realizan pruebas en unos 100 aeropuertos estadounidenses anualmente. Las pruebas se suspendieron después de los ataques del 11 de septiembre de 2001 y se reanudaron en 2003 bajo la Administración de Seguridad del Transporte, que asumió el papel de seguridad de la aviación de la FAA después del 11 de septiembre. [108] Antes de los ataques del 11 de septiembre, el uso del equipo rojo por parte de la FAA reveló graves debilidades en la seguridad en el Aeropuerto Internacional Logan en Boston, donde se originaron dos de los cuatro vuelos secuestrados el 11 de septiembre. Algunos ex investigadores de la FAA que participaron en estos equipos sienten que la FAA ignoró deliberadamente los resultados de las pruebas, y que esto resultó en parte en el ataque terrorista del 11 de septiembre en Estados Unidos . [109]
La Administración de Seguridad del Transporte de los Estados Unidos ha utilizado equipos rojos en el pasado. En una operación del equipo rojo, agentes encubiertos pudieron engañar a los oficiales de seguridad del transporte y pasar armas y explosivos falsos por el control de seguridad 67 de 70 veces en 2015. [110]