Un equipo rojo es un grupo que se hace pasar por enemigo, intenta una intrusión física o digital contra una organización bajo la dirección de esa organización y luego informa para que la organización pueda mejorar sus defensas. Los equipos rojos trabajan para la organización o son contratados por ella. Su trabajo es legal, pero puede sorprender a algunos empleados que quizás no sepan que se está produciendo un equipo rojo o que pueden ser engañados por el equipo rojo. Algunas definiciones de equipo rojo son más amplias e incluyen a cualquier grupo dentro de una organización que esté dirigido a pensar de manera innovadora y analizar escenarios alternativos que se consideren menos plausibles. Esto puede ser una defensa importante contra suposiciones falsas y pensamiento grupal . El término equipo rojo se originó en la década de 1960 en los Estados Unidos.
El trabajo en equipo técnico se centra en comprometer redes y computadoras digitalmente. También puede haber un equipo azul , un término para los empleados de ciberseguridad que son responsables de defender las redes y computadoras de una organización contra ataques. En el trabajo en equipo técnico, se utilizan vectores de ataque para obtener acceso y luego se realiza un reconocimiento para descubrir más dispositivos que puedan comprometerse. La búsqueda de credenciales implica rastrear una computadora en busca de credenciales como contraseñas y cookies de sesión y, una vez que se encuentran, se pueden usar para comprometer computadoras adicionales. Durante las intrusiones de terceros, un equipo rojo puede unirse al equipo azul para ayudar a defender la organización. A menudo se utilizan reglas de compromiso y procedimientos operativos estándar para garantizar que el equipo rojo no cause daños durante sus ejercicios.
El trabajo en equipo físico se centra en enviar un equipo para ingresar a áreas restringidas. Esto se hace para probar y optimizar la seguridad física, como vallas, cámaras, alarmas, cerraduras y el comportamiento de los empleados. Al igual que con el trabajo en equipo técnico, se utilizan reglas de intervención para garantizar que los equipos rojos no causen daños excesivos durante sus ejercicios. El trabajo en equipo físico a menudo implica una fase de reconocimiento en la que se recopila información y se identifican las debilidades en la seguridad, y luego esa información se utilizará para realizar una operación (normalmente de noche) para ingresar físicamente a las instalaciones. Se identificarán y anularán los dispositivos de seguridad utilizando herramientas y técnicas. A los miembros del equipo físico se les asignarán objetivos específicos, como obtener acceso a una sala de servidores y tomar un disco duro portátil, o acceder a la oficina de un ejecutivo y tomar documentos confidenciales.
Los equipos rojos se utilizan en varios campos, entre ellos la ciberseguridad , la seguridad aeroportuaria , la aplicación de la ley , el ejército y las agencias de inteligencia . En el gobierno de los Estados Unidos , los equipos rojos son utilizados por el Ejército , el Cuerpo de Marines , el Departamento de Defensa , la Administración Federal de Aviación y la Administración de Seguridad del Transporte .
El concepto de equipo rojo y equipo azul surgió a principios de la década de 1960. Un ejemplo temprano de equipo rojo involucró al grupo de expertos RAND Corporation , que realizó simulaciones para el ejército de los Estados Unidos durante la Guerra Fría . El "equipo rojo" y el color rojo se utilizaron para representar a la Unión Soviética , y el "equipo azul" y el color azul se utilizaron para representar a los Estados Unidos. [1] Otro ejemplo temprano involucró al Secretario de Defensa de los Estados Unidos, Robert McNamara , quien reunió un equipo rojo y un equipo azul para explorar qué contratista gubernamental debería obtener un contrato de aeronaves experimentales. [1] Otro ejemplo temprano modeló la negociación de un tratado de control de armas y la evaluación de su efectividad. [1]
Los equipos rojos se asocian a veces con el "pensamiento contrario" y la lucha contra el pensamiento colectivo, la tendencia de los grupos a hacer y mantener suposiciones incluso ante la evidencia de lo contrario. Un ejemplo de un grupo que no se llamó equipo rojo, pero que podría decirse que fue uno de los primeros ejemplos de formación de un grupo para luchar contra el pensamiento colectivo, es el israelí Ipcha Mistabra, que se formó después de los fracasos de la toma de decisiones israelí durante la Guerra de Yom Kippur en 1973. El ataque contra Israel casi tomó a Israel por sorpresa a pesar de la amplia evidencia de un ataque inminente, y casi resultó en la derrota de Israel. Ipcha Mistabra se formó después de la guerra, y se le dio el deber de presentar siempre un análisis contrario, inesperado o poco ortodoxo de la política exterior y los informes de inteligencia, de modo que fuera menos probable que se pasaran por alto las cosas en el futuro. [2]
A principios de la década de 2000, existen ejemplos de equipos rojos que se utilizan para ejercicios de simulación. Los equipos de respuesta a emergencias suelen utilizar un ejercicio de simulación y planifican los peores escenarios, de forma similar a jugar a un juego de mesa . En respuesta a los ataques del 11 de septiembre , con la lucha contra el terrorismo en mente, la Agencia Central de Inteligencia creó una nueva célula roja [3] y se utilizaron equipos rojos para modelar las respuestas a la guerra asimétrica , como el terrorismo . [4] En respuesta a los fracasos de la guerra de Irak , los equipos rojos se volvieron más comunes en el ejército de los Estados Unidos . [5]
Con el tiempo, la práctica de los equipos rojos se expandió a otras industrias y organizaciones, incluidas corporaciones, agencias gubernamentales y organizaciones sin fines de lucro. El enfoque se ha vuelto cada vez más popular en el mundo de la ciberseguridad, donde los equipos rojos se utilizan para simular ataques reales a la infraestructura digital de una organización y probar la efectividad de sus medidas de ciberseguridad. [6]
El trabajo en equipo técnico implica probar la seguridad digital de una organización intentando infiltrarse digitalmente en sus redes informáticas.
Un equipo azul es un grupo encargado de defenderse de las intrusiones.
En materia de ciberseguridad , una prueba de penetración implica que hackers éticos ("pen testers") intenten entrar en un sistema informático sin ningún elemento de sorpresa. La organización es consciente de la prueba de penetración y está preparada para montar una defensa. [7]
Un equipo rojo va un paso más allá y añade penetración física, ingeniería social y un elemento sorpresa. El equipo azul no recibe ninguna advertencia previa sobre un equipo rojo y lo tratará como una intrusión real. [7] Una de las funciones de un equipo rojo interno permanente es mejorar la cultura de seguridad de la organización. [8]
Un equipo morado es la combinación temporal de ambos equipos y puede proporcionar respuestas de información rápidas durante una prueba. [9] [10] Una ventaja del equipo morado es que el equipo rojo puede lanzar ciertos ataques repetidamente, y el equipo azul puede usar eso para configurar el software de detección, calibrarlo y aumentar constantemente la tasa de detección. [11] Los equipos morados pueden participar en sesiones de "cacería de amenazas", donde tanto el equipo rojo como el equipo azul buscan intrusos reales. Involucrar a otros empleados en el equipo morado también es beneficioso, por ejemplo, ingenieros de software que pueden ayudar con el registro y las alertas de software, y gerentes que pueden ayudar a identificar los escenarios más perjudiciales financieramente. [12] Un peligro del equipo morado es la complacencia y el desarrollo del pensamiento grupal , que se puede combatir contratando personas con diferentes conjuntos de habilidades o contratando a un proveedor externo. [13]
Un equipo blanco es un grupo que supervisa y gestiona las operaciones entre los equipos rojos y los equipos azules. Por ejemplo, pueden ser los directivos de una empresa los que determinan las reglas de actuación del equipo rojo. [14]
El punto de entrada inicial de un equipo rojo o de un adversario se denomina cabeza de playa. Un equipo azul maduro suele ser experto en encontrar la cabeza de playa y expulsar a los atacantes. Una de las funciones del equipo rojo es aumentar las habilidades del equipo azul. [15]
Al infiltrarse, existe un método "quirúrgico" sigiloso que pasa desapercibido para el equipo azul y requiere un objetivo claro, y un método de "bombardeo generalizado" ruidoso que se parece más a un ataque de fuerza bruta. El bombardeo generalizado suele ser el método más útil para los equipos rojos, porque puede descubrir vulnerabilidades inesperadas. [16]
Existen diversas amenazas a la ciberseguridad. Las amenazas pueden ir desde algo tradicional como hackear el controlador de dominio de la red , hasta algo menos ortodoxo como configurar la minería de criptomonedas o brindar demasiado acceso a información de identificación personal (PII) a los empleados, lo que expone a la empresa a multas por el Reglamento General de Protección de Datos (GDPR). [17] Cualquiera de estas amenazas puede ser objeto de un ataque en equipo rojo para explorar la gravedad del problema. Se pueden utilizar ejercicios de mesa, en los que se realizan intrusiones sobre una mesa de manera similar a como se jugaría a un juego de mesa, para simular intrusiones que son demasiado costosas, demasiado complicadas o ilegales para ejecutarlas en vivo. [18] Puede ser útil intentar intrusiones contra el equipo rojo y el equipo azul, además de objetivos más tradicionales. [19]
Una vez que se logra el acceso a una red, se puede realizar un reconocimiento. Los datos recopilados se pueden colocar en una base de datos gráfica , que es un software que traza visualmente nodos, relaciones y propiedades. Los nodos típicos pueden ser computadoras, usuarios o grupos de permisos. [20] Los equipos rojos generalmente tendrán bases de datos gráficas muy buenas de su propia organización, porque pueden aprovechar la ventaja de jugar de local , incluido el trabajo con el equipo azul para crear un mapa completo de la red y una lista completa de usuarios y administradores. [21] Se puede utilizar un lenguaje de consulta como Cypher para crear y modificar bases de datos gráficas. [22] Cualquier tipo de cuenta de administrador es valiosa para colocar en la base de datos gráfica, incluidos los administradores de herramientas de terceros como Amazon Web Services (AWS). [23] A veces, los datos se pueden exportar desde herramientas y luego insertar en la base de datos gráfica. [24]
Una vez que el equipo rojo ha comprometido una computadora, sitio web o sistema, una técnica poderosa es la búsqueda de credenciales . Estas pueden ser en forma de contraseñas de texto claro , texto cifrado , hashes o tokens de acceso . El equipo rojo obtiene acceso a una computadora, busca credenciales que se puedan usar para acceder a una computadora diferente, luego esto se repite, con el objetivo de acceder a muchas computadoras. [25] Las credenciales se pueden robar de muchas ubicaciones, incluidos archivos, repositorios de código fuente como Git , memoria de computadora y software de rastreo y registro. Se pueden usar técnicas como pasar la cookie y pasar el hash para obtener acceso a sitios web y máquinas sin ingresar una contraseña. También se pueden usar técnicas como el reconocimiento óptico de caracteres (OCR), la explotación de contraseñas predeterminadas , la falsificación de una solicitud de credenciales y el phishing . [26]
El equipo rojo puede utilizar programación informática y scripts de interfaz de línea de comandos (CLI) para automatizar algunas de sus tareas. Por ejemplo, los scripts de CLI pueden utilizar el Modelo de objetos componentes (COM) en máquinas Microsoft Windows para automatizar tareas en aplicaciones de Microsoft Office . Las tareas útiles pueden incluir el envío de correos electrónicos, la búsqueda de documentos, el cifrado o la recuperación de datos. Los equipos rojos pueden tomar el control de un navegador utilizando el COM de Internet Explorer , la función de depuración remota de Google Chrome o el marco de pruebas Selenium . [27]
Durante una intrusión real, el equipo rojo puede reorientarse para trabajar con el equipo azul y ayudar con la defensa. En concreto, pueden proporcionar un análisis de lo que probablemente intentarán hacer los intrusos a continuación. Durante una intrusión, tanto el equipo rojo como el equipo azul tienen la ventaja de jugar de local porque están más familiarizados con las redes y los sistemas de la organización que el intruso. [11]
El equipo rojo de una organización puede ser un objetivo atractivo para los atacantes reales. Las máquinas de los miembros del equipo rojo pueden contener información confidencial sobre la organización. En respuesta, las máquinas de los miembros del equipo rojo suelen estar protegidas. [28] Las técnicas para proteger las máquinas incluyen configurar el firewall del sistema operativo , restringir el acceso a Secure Shell (SSH) y Bluetooth , mejorar el registro y las alertas, eliminar archivos de forma segura y cifrar los discos duros. [29]
Una táctica es participar en una "defensa activa", que implica la instalación de señuelos y honeypots para ayudar a rastrear la ubicación de los intrusos. [30] Estos honeypots pueden ayudar a alertar al equipo azul sobre una intrusión en la red que de otro modo podría haber pasado desapercibida. Se pueden utilizar varios programas para configurar un archivo honeypot según el sistema operativo: las herramientas de macOS incluyen OpenBMS, las herramientas de Linux incluyen complementos auditados y las herramientas de Windows incluyen listas de control de acceso al sistema (SACL). Las notificaciones pueden incluir ventanas emergentes, correos electrónicos y escritura en un archivo de registro. [31] La supervisión centralizada, donde los archivos de registro importantes se envían rápidamente al software de registro en una máquina diferente, es una técnica de defensa de red útil. [32]
El uso de reglas de participación puede ayudar a delinear qué sistemas están fuera de los límites, prevenir incidentes de seguridad y garantizar que se respete la privacidad de los empleados. [33] El uso de un procedimiento operativo estándar (SOP) puede garantizar que se notifique a las personas adecuadas y se las involucre en la planificación, y mejorar el proceso del equipo rojo, haciéndolo maduro y repetible. [34] Las actividades del equipo rojo suelen tener un ritmo regular. [35]
El seguimiento de determinadas métricas o indicadores clave de rendimiento (KPI) puede ayudar a garantizar que un equipo rojo esté logrando el resultado deseado. Algunos ejemplos de KPI del equipo rojo incluyen la realización de una determinada cantidad de pruebas de penetración por año o el aumento de la cantidad de evaluadores de penetración en el equipo dentro de un período de tiempo determinado. También puede ser útil realizar un seguimiento de la cantidad de máquinas comprometidas, máquinas susceptibles de ser comprometidas y otras métricas relacionadas con la infiltración. Estas estadísticas se pueden representar gráficamente por día y colocar en un tablero que se muestra en el centro de operaciones de seguridad (SOC) para motivar al equipo azul a detectar y cerrar las brechas. [36]
Para identificar a los peores infractores, los ataques se pueden graficar y agrupar por dónde fueron descubiertos en el software, la ubicación de la oficina de la empresa, el puesto de trabajo o el departamento. [37] Las simulaciones de Monte Carlo se pueden utilizar para identificar qué escenarios de intrusión son los más probables, los más dañinos o ambos. [38] Un modelo de madurez de pruebas, un tipo de modelo de madurez de capacidad , se puede utilizar para evaluar qué tan maduro es un equipo rojo y cuál es el siguiente paso para crecer. [39] El MITRE ATT&CK Navigator, una lista de tácticas, técnicas y procedimientos (TTP) que incluyen amenazas persistentes avanzadas (APT), se puede consultar para ver cuántas TTP está explotando un equipo rojo y brindar ideas adicionales para que las TTP utilicen en el futuro. [40]
El trabajo en equipo físico o las pruebas de penetración física [41] implican probar la seguridad física de una instalación, incluidas las prácticas de seguridad de sus empleados y el equipo de seguridad. Algunos ejemplos de equipos de seguridad incluyen cámaras de seguridad , cerraduras y vallas . En el trabajo en equipo físico, las redes informáticas no suelen ser el objetivo. [42] A diferencia de la ciberseguridad, que normalmente tiene muchas capas de seguridad, es posible que solo haya una o dos capas de seguridad física presentes. [43]
Es útil contar con un documento de "reglas de intervención" que se comparta con el cliente para especificar qué TTP se utilizarán, qué lugares pueden ser el objetivo, qué no, cuánto daño se permite a los equipos como cerraduras y puertas, cuál es el plan, cuáles son los hitos y compartir información de contacto. [44] [45] Las reglas de intervención se pueden actualizar después de la fase de reconocimiento, con otra ronda de ida y vuelta entre el equipo rojo y el cliente. [46] Los datos recopilados durante la fase de reconocimiento se pueden utilizar para crear un plan operativo, tanto para uso interno como para enviar al cliente para su aprobación. [47]
Parte del trabajo en equipo físico es la realización de reconocimientos. [48] El tipo de reconocimiento que se recopila normalmente incluye información sobre personas, lugares, dispositivos de seguridad y el clima. [49] El reconocimiento tiene un origen militar y las técnicas de reconocimiento militar son aplicables al trabajo en equipo físico. El equipo de reconocimiento del equipo rojo puede incluir ropa militar, ya que no se rasga fácilmente, luces rojas para preservar la visión nocturna y ser menos detectable, radios y auriculares, cámara y trípode, binoculares, equipo de visión nocturna y un cuaderno para todo tipo de clima. [50] Algunos métodos de comunicación de campo incluyen un auricular Bluetooth conectado a una llamada de conferencia de teléfono celular durante el día y radios bidireccionales con auriculares durante la noche. [51] En caso de compromiso, los miembros del equipo rojo a menudo llevan una identificación y una carta de autorización con múltiples contactos fuera del horario laboral que pueden dar fe de la legalidad y legitimidad de las actividades del equipo rojo. [52]
Antes de que se realice el reconocimiento físico, se puede recopilar inteligencia de fuentes abiertas (OSINT) investigando ubicaciones y miembros del personal a través de Internet, incluido el sitio web de la empresa, cuentas de redes sociales, motores de búsqueda, sitios web de mapas y publicaciones de empleo (que brindan pistas sobre la tecnología y el software que utiliza la empresa). [53] Es una buena práctica hacer varios días de reconocimiento, reconocer tanto de día como de noche, llevar al menos tres operadores, utilizar un área de preparación cercana que esté fuera de la vista del objetivo y hacer el reconocimiento y la infiltración como dos viajes separados en lugar de combinarlos. [54]
Los equipos de reconocimiento pueden utilizar técnicas para ocultarse a sí mismos y a su equipo. Por ejemplo, se puede alquilar una furgoneta de pasajeros y se pueden oscurecer las ventanas para ocultar las fotografías y los vídeos del objetivo. [55] El reconocimiento puede ocultar la inspección y la grabación de las cerraduras de un edificio durante un recorrido por el lugar fingiendo estar hablando por teléfono. [56] En caso de que se produzca un compromiso, por ejemplo, si los empleados empiezan a sospechar, se puede ensayar una historia con antelación hasta que se pueda recitar con seguridad. Si el equipo se ha dividido, el compromiso de un operador puede dar lugar a que el líder del equipo saque a los demás operadores. [57] Se pueden utilizar cámaras de vídeo ocultas para capturar imágenes para su posterior revisión, y se pueden realizar informes rápidamente después de abandonar el área para documentar rápidamente la información nueva. [58]
La mayoría de las operaciones físicas del equipo rojo ocurren de noche, debido a la seguridad reducida de las instalaciones y para que la oscuridad pueda ocultar las actividades. [59] Una infiltración ideal suele ser invisible tanto fuera de las instalaciones (la aproximación no es detectada por los transeúntes o los dispositivos de seguridad) como dentro de las instalaciones (no se producen daños y no se golpea ni se deja nada fuera de lugar), y no alerta a nadie de que un equipo rojo estuvo allí. [60]
El uso de una lista de equipamiento puede ayudar a garantizar que no se olvide el equipo importante del equipo rojo. [61] El uso de equipo militar como chalecos MOLLE y pequeñas bolsas tácticas puede proporcionar lugares útiles para almacenar herramientas, pero tiene las desventajas de ser visibles y aumentar el estorbo. [62] La ropa negra o de camuflaje oscuro puede ser útil en áreas rurales, mientras que la ropa de calle en tonos de gris y negro puede ser preferible en áreas urbanas. [63] Otros elementos de disfraz urbano incluyen una bolsa para computadora portátil o un par de auriculares alrededor del cuello. Se pueden usar varios tipos de cubiertas para zapatos para minimizar las huellas tanto en exteriores como en interiores. [64]
La disciplina ligera (mantener al mínimo las luces de los vehículos, las linternas y otras herramientas) reduce la posibilidad de ser comprometido. [59] Algunas tácticas de disciplina ligera incluyen usar linternas rojas, usar un solo vehículo y mantener los faros del vehículo apagados. [59]
A veces hay cambios de seguridad entre el reconocimiento y la infiltración, por lo que es una buena práctica que los equipos que se acercan a un objetivo "evalúen y se aclimaten" para ver si se pueden ver nuevas medidas de seguridad. [65] Los compromisos durante la infiltración tienen más probabilidades de ocurrir durante el acercamiento a la instalación. [66] Los empleados, la seguridad, la policía y los transeúntes son los que tienen más probabilidades de comprometer a un equipo rojo físico. [67] Los transeúntes son más raros en las áreas rurales, pero también mucho más sospechosos. [68]
Un movimiento adecuado puede ayudar a que un equipo rojo evite ser detectado mientras se acerca a un objetivo, y puede incluir apresurarse, arrastrarse, evitar las siluetas en las colinas, caminar en formaciones como en fila india y caminar en ráfagas cortas y luego detenerse. [69] El uso de señales manuales puede usarse para reducir el ruido. [70]
Los dispositivos de seguridad más comunes incluyen puertas, cerraduras, vallas, alarmas, sensores de movimiento y sensores de suelo. Las puertas y las cerraduras suelen ser más rápidas y silenciosas de sortear con herramientas y cuñas , en lugar de con ganzúas . [71] Las cerraduras RFID son comunes en las empresas, y los lectores RFID encubiertos combinados con ingeniería social durante el reconocimiento se pueden utilizar para duplicar la credencial de un empleado autorizado. [72] El alambre de púas de las vallas se puede sortear colocando una manta gruesa sobre él. [73] Las vallas anti-trepa se pueden sortear con escaleras. [74]
Las alarmas a veces se pueden neutralizar con un bloqueador de radio que apunta a las frecuencias que las alarmas usan para sus comunicaciones internas y externas. [75] Los sensores de movimiento se pueden anular con un escudo especial del tamaño del cuerpo que bloquea la firma de calor de una persona. [76] Los sensores terrestres son propensos a falsos positivos, lo que puede hacer que el personal de seguridad no confíe en ellos o los ignore. [77]
Una vez dentro, si hay sospechas de que el edificio está ocupado, disfrazarse de limpiador o empleado usando la ropa adecuada es una buena táctica. [78] La disciplina del ruido suele ser importante una vez dentro de un edificio, ya que hay menos sonidos ambientales que enmascaren los ruidos del equipo rojo. [79]
Los equipos rojos suelen tener ubicaciones de destino seleccionadas y tareas planificadas de antemano para cada equipo o miembro del equipo, como entrar en una sala de servidores o en la oficina de un ejecutivo. Sin embargo, puede resultar difícil determinar la ubicación de una sala con antelación, por lo que a menudo se hace sobre la marcha. La lectura de las señales de salida de emergencia y el uso de un reloj con brújula pueden ayudar a orientarse dentro de los edificios. [80]
Los edificios comerciales suelen tener algunas luces encendidas. Es una buena práctica no encender ni apagar las luces, ya que esto puede alertar a alguien. En cambio, se prefiere utilizar áreas que ya no estén iluminadas para las operaciones del equipo rojo, con técnicas de apresuramiento y congelamiento que se deben utilizar para moverse rápidamente a través de las áreas iluminadas. [81] A menudo se evita permanecer de pie frente a las ventanas y entrar a los edificios a través de los vestíbulos debido al riesgo de ser visto. [82]
Se puede utilizar un boroscopio para mirar alrededor de las esquinas y debajo de las puertas, para ayudar a detectar personas, cámaras o detectores de movimiento. [83]
Una vez que se llega a la sala objetivo, si es necesario encontrar algo, como un documento específico o un equipo específico, la sala se puede dividir en secciones, y cada miembro del equipo rojo se puede concentrar en una sección. [84]
Las contraseñas suelen estar debajo de los teclados. Se pueden utilizar técnicas para evitar alterar la colocación de objetos en las oficinas, como teclados y sillas, ya que, a menudo, se notarán los cambios de posición. [85] Las luces y las cerraduras se pueden dejar en su estado original, encendidas o apagadas, bloqueadas o desbloqueadas. [86] Se pueden tomar medidas para garantizar que no se deje equipo abandonado, como tener una lista de todo el equipo que se ha traído y comprobar que se han tenido en cuenta todos los artículos. [87]
Es una buena práctica enviar informes de situación por radio (SITREP) al líder del equipo cuando ocurren cosas inusuales. El líder del equipo puede entonces decidir si la operación debe continuar, debe abortarse o si un miembro del equipo debe rendirse mostrando su carta de autorización y su identificación. [88] Cuando se enfrentan a civiles como empleados, los operadores del equipo rojo pueden intentar aplicar ingeniería social. Cuando se enfrentan a las fuerzas del orden, es una buena práctica rendirse inmediatamente debido a las posibles consecuencias legales y de seguridad. [89]
La forma ideal de salir de una instalación es lenta y cuidadosamente, de manera similar a como se logró entrar. A veces existe la necesidad de salir corriendo después de lograr un objetivo de la misión, pero esto no es una buena práctica. Salir lenta y cuidadosamente mantiene la conciencia de la situación, en caso de que una zona que antes estaba vacía ahora tenga a alguien dentro o acercándose a ella. [90] Si bien normalmente se toma el camino de entrada durante la salida, también se puede utilizar una salida más cercana o alternativa. [91]
El objetivo de todos los miembros del equipo es llegar al punto de concentración o, posiblemente, a un segundo punto de concentración de emergencia. El punto de concentración suele estar en un lugar diferente al punto de descenso. [92]
Las empresas privadas a veces utilizan equipos rojos para complementar sus procedimientos y personal de seguridad habituales. Por ejemplo, Microsoft y Google utilizan equipos rojos para ayudar a proteger sus sistemas. [93] [94] Algunas instituciones financieras en Europa utilizan el marco TIBER-EU. [95]
Cuando se aplica al trabajo de inteligencia, el trabajo en equipo rojo a veces se denomina análisis alternativo . [96] El análisis alternativo implica traer nuevos analistas para verificar las conclusiones de otro equipo, para cuestionar los supuestos y asegurarse de que no se haya pasado nada por alto. Se utilizaron tres equipos rojos para revisar la inteligencia que condujo al asesinato de Osama bin Laden en 2011, incluidos equipos rojos de fuera de la Agencia Central de Inteligencia, porque había importantes consecuencias diplomáticas y de relaciones públicas por lanzar una operación militar en Pakistán, por lo que era importante verificar dos veces la inteligencia y las conclusiones del equipo original. [97]
Tras los fracasos a la hora de anticipar la Guerra de Yom Kippur, la Dirección de Inteligencia de las Fuerzas de Defensa de Israel formó un equipo rojo llamado Ipcha Mistabra ("por el contrario") para reexaminar los supuestos descartados y evitar la complacencia. [2] La Organización del Tratado del Atlántico Norte (OTAN) utiliza el análisis alternativo. [98]
Los militares suelen utilizar el equipo rojo para realizar análisis alternativos, simulaciones y sondeos de vulnerabilidad. [99] En los juegos de guerra militares , la fuerza opuesta (OPFOR) en un conflicto simulado puede denominarse célula roja. [100] El tema clave es que el adversario (equipo rojo) aprovecha las tácticas, técnicas y equipos según sea apropiado para emular al actor deseado. El equipo rojo desafía la planificación operativa al desempeñar el papel de un adversario consciente.
El Ministerio de Defensa del Reino Unido tiene un programa de equipo rojo. [101]
Los equipos rojos se utilizaron en las Fuerzas Armadas de los Estados Unidos con mucha más frecuencia después de que una Junta de Revisión de Ciencias de la Defensa de 2003 los recomendara para ayudar a prevenir las deficiencias que llevaron a los ataques del 11 de septiembre. El Ejército de los EE. UU. creó la Oficina de Estudios Dirigidos del Ejército en 2004. Este fue el primer equipo rojo a nivel de servicio, y hasta 2011 fue el más grande del Departamento de Defensa (DoD). [102] La Universidad de Estudios Culturales y Militares Extranjeros ofrece cursos para miembros y líderes de equipos rojos. La mayoría de los cursos residentes se llevan a cabo en Fort Leavenworth y están dirigidos a estudiantes de la Escuela de Comando y Estado Mayor del Ejército de los EE. UU. (CGSC) o escuelas equivalentes de nivel intermedio y superior. [103] Los cursos incluyen temas como pensamiento crítico, mitigación del pensamiento grupal, empatía cultural y autorreflexión. [104]
El concepto de equipo rojo del Cuerpo de Marines comenzó en 2010 cuando el Comandante del Cuerpo de Marines (CMC), General James F. Amos, intentó implementarlo. [105] Amos redactó un documento técnico titulado Red Teaming in the Marine Corps ( El trabajo en equipo rojo en el Cuerpo de Marines). En este documento, Amos discutió cómo el concepto de equipo rojo debe desafiar el proceso de planificación y toma de decisiones mediante la aplicación del pensamiento crítico desde el nivel táctico al estratégico. En junio de 2013, el Cuerpo de Marines dotó de personal a los puestos del equipo rojo descritos en el borrador del documento técnico. En el Cuerpo de Marines, todos los marines designados para ocupar puestos del equipo rojo completan cursos de capacitación de seis o nueve semanas del equipo rojo proporcionados por la Universidad de Estudios Culturales y Militares Extranjeros (UFMCS). [106]
El Departamento de Defensa utiliza equipos rojos cibernéticos para realizar evaluaciones adversas en sus redes. [107] Estos equipos rojos están certificados por la Agencia de Seguridad Nacional y acreditados por el Comando Estratégico de los Estados Unidos . [107]
La Administración Federal de Aviación de los Estados Unidos (FAA) ha estado implementando equipos rojos desde el vuelo 103 de Pan Am sobre Lockerbie , Escocia , que sufrió un ataque terrorista en 1988. Los equipos rojos realizan pruebas en alrededor de 100 aeropuertos estadounidenses anualmente. Las pruebas estuvieron en pausa después de los ataques del 11 de septiembre de 2001 y se reanudaron en 2003 bajo la Administración de Seguridad del Transporte, que asumió el papel de seguridad de la aviación de la FAA después del 11 de septiembre. [108] Antes de los ataques del 11 de septiembre, el uso de equipos rojos por parte de la FAA reveló graves debilidades en la seguridad en el Aeropuerto Internacional Logan en Boston, donde se originaron dos de los cuatro vuelos secuestrados el 11 de septiembre. Algunos ex investigadores de la FAA que participaron en estos equipos sienten que la FAA ignoró deliberadamente los resultados de las pruebas, y que esto resultó en parte en el ataque terrorista del 11 de septiembre en los EE. UU . [109]
La Administración de Seguridad del Transporte de los Estados Unidos ha utilizado el método Red Teaming en el pasado. En una operación Red Teaming, agentes encubiertos lograron engañar a los oficiales de seguridad del transporte y pasar armas y explosivos falsos por los controles de seguridad en 67 de las 70 ocasiones en 2015. [110]