🧩 Diversidad y Defensa en Profundidad

1. ¿Qué es?

La Diversidad tecnológica y la Defensa en profundidad son pilares fundamentales en una arquitectura de seguridad resiliente.

• Diversidad de plataformas busca evitar puntos únicos de fallo al usar distintos sistemas operativos, proveedores o hardware.

• Defensa en profundidad aplica múltiples capas de defensa que refuercen unas a otras, como un castillo con murallas, foso, soldados, trampas y torreones internos.

2. ¿Para qué sirve?

Ambos conceptos sirven para resistir ciberataques, aumentar la resiliencia, y limitar el daño en caso de intrusión.
En lugar de depender de una sola línea de defensa, se diseña un sistema donde si una capa cae, otra responde.

3. ¿Dónde se aplica?

• En el diseño de infraestructura híbrida y multicloud

• En la selección de proveedores de seguridad y software

• En entornos como centros de datos, redes críticas, servicios SaaS

• En planificación de continuidad y recuperación ante desastres

4. ¿Qué problemas soluciona?

• Riesgo de vulnerabilidades comunes (por depender de un solo proveedor o tecnología)

• Dependencia del proveedor único (vendor lock-in)

• Fallo en cascada por arquitectura monolítica

• Explotaciones automatizadas que atacan sistemas homogéneos

5. ¿Qué herramientas y tecnologías se usan?

• Firewalls de próxima generación (NGFW)

• Sistemas de detección y prevención (IDS/IPS)

• MFA (Autenticación multifactor)

• Proveedores Cloud alternos (AWS, Azure, GCP...)

• Sistemas operativos mixtos (Linux, Windows, BSD)

• Load Balancers + Reverse Proxies

• Zero Trust Network Access (ZTNA)

6. Buenas prácticas (profundizadas):

🔐 Defensa en profundidad (DiD) - Defense in Depth (DiD)

Implementar capas múltiples:

• Perímetro: Firewalls, IDS/IPS

• Red: Segmentación, VLANs, NAC

• Host: EDR, antivirus, políticas GPO

• Aplicación: WAF, seguridad en API

• Datos: DLP, cifrado

• Usuarios: formación, MFA

• Respuesta: SIEM, SOAR, runbooks

⚙️ Diversidad de plataformas

Utilizar distintos:

• Sistemas operativos

• Bases de datos (PostgreSQL + MySQL)

• Tecnologías web (Apache + NGINX)

• Librerías y frameworks (con versiones controladas)

🔄 Diversidad de proveedores

Evita la dependencia total:

• Uso de Azure + AWS + Google Cloud

• Antivirus de distintos fabricantes

• Soluciones EDR y SIEM de diferentes proveedores

☁️ Estrategia multicloud

Combinar nubes por ventajas específicas:

• AWS: elasticidad

• Azure: integración empresarial

• GCP: Big Data
  Implementar respaldo cruzado y distribución de cargas.

7. ¿Cómo se implementa paso a paso?

1. Inventariar tecnología actual (SOs, apps, proveedores)

2. Identificar puntos únicos de fallo

3. Elegir tecnologías complementarias

4. Segmentar redes y roles

5. Aplicar controles en capas (DiD)

6. Configurar nubes y backups distribuidos

7. Monitorear con SIEM multifuente

8. Simular ataques y corregir debilidades

9. Formar a usuarios

10. Actualizar y auditar regularmente

8. Errores comunes

• Creer que tener un firewall es suficiente

• Apostar todo a un solo proveedor cloud

• Usar la misma versión de SO en todo el entorno

• Falta de parcheo regular

• Ignorar la formación del usuario

• Configurar herramientas sin estrategia común

9. Caso real aplicado

Una empresa sufrió un ataque de ransomware a su servidor de archivos principal. Gracias a su estrategia de diversidad:

• Tenían copias de seguridad en otra nube

• Sus servidores de autenticación eran Linux, separados del dominio principal

• Se contuvo el ataque y se restauró todo en 6 horas.

10. Checklist

✅ Tengo diversidad de proveedores tecnológicos
✅ Implementé varias capas de defensa (DiD)
✅ Uso múltiples sistemas operativos y versiones
✅ Monitorizo el entorno con herramientas independientes
✅ Tengo segmentación de red
✅ La formación de usuarios está implementada
✅ Puedo restaurar operaciones desde una nube distinta
✅ Simulo ataques con regularidad
✅ Mis dispositivos cuentan con EDR
✅ Realizo auditorías de arquitectura trimestralmente

🎯 Ejercicios Purple Team

🔴 Red Team - Nivel Avanzado

Ataque: Exploito una vulnerabilidad en Apache Tomcat en múltiples servidores clonados. Al ser todos idénticos (misma versión), escalo privilegios en cadena.

🔵 Blue Team
Defensa: El equipo detecta tráfico anómalo en el SIEM (detección en correlación de logs + EDR) y bloquea el acceso a nivel de firewall. Los servidores Linux con otra arquitectura quedan intactos.

🟣 Purple Team
Gestión: Evalúa la debilidad del entorno homogéneo. Implementa hardening, segmentación, uso de containers, y rota algunos servicios a NGINX y Kubernetes. Automatiza detecciones con SOAR.

🔴 Red Team - Nivel Experto

Ataque: Realizo un ataque lateral tras comprometer una cuenta con MFA débil en una instancia de Azure. Aprovecho que todos los accesos están bajo el mismo tenant.

🔵 Blue Team
Defensa: Detectan actividad sospechosa por fail logins. El equipo revoca sesiones con Azure AD y aplica reglas de Conditional Access con geolocalización.

🟣 Purple Team
Gestión: Introduce proveedores redundantes para backup de identidades (como Okta), revisa política de MFA adaptativa y diseña una red Zero Trust multinube con diferentes rutas de acceso.

🔴 Red Team - Nivel Maestro

Ataque: Ataque persistente dirigido que compromete simultáneamente APIs REST expuestas en Google Cloud, Azure y AWS gracias a una credencial filtrada en GitHub.

🔵 Blue Team
Defensa: Detección avanzada por análisis de comportamiento y token revocation inmediata. CIEM y CSPM alertan del abuso de APIs.

🟣 Purple Team
Gestión: Reestructura toda la política de acceso a API, integra herramientas como Prisma Cloud y Lacework, implementa hashing y rotación automática de secretos y tokens vía HashiCorp Vault, y fuerza reglas de branch protection en GitHub con escaneo automático de secretos.

🔴 Red Team – Ejercicios 

🟥 Nivel Avanzado

Ejercicio:
"Soy atacante. Identifico que todos los servidores web utilizan la misma versión de Apache vulnerable. Subo un web shell en uno y lo replico en todos en cadena aprovechando la homogeneidad. ¿Cómo exploto la falta de diversidad?"

🔍 Objetivos prácticos:

• Escaneo con Nmap + Script NSE para detectar versión exacta.

• Explotación con Metasploit usando exploit/multi/http/tomcat_mgr_upload.

• Uso de pspy para detectar procesos comunes entre servidores.

• Reutilización de credenciales iguales en toda la red.

🟥 Nivel Experto

Ejercicio:
"Encuentro credenciales de Azure en un repo GitHub público. Entro al portal y descubro que todas las identidades dependen de un solo tenant con MFA débil. Lanzo ataques de password spraying y MFA fatigue para entrar."

🔍 Objetivos prácticos:

• Búsqueda de secretos con truffleHog o gittyleaks.

• Uso de o365creeper o AADCrawler para mapear el entorno de Azure.

• Fuerza bruta moderada usando MFASniper o Evilginx para simular ataques MFA.

• Movimiento lateral con RoadTools.

🟥 Nivel Maestro

Ejercicio:
"Llevo a cabo un ataque avanzado coordinado contra una arquitectura multicloud mal segmentada. Uso credenciales filtradas para entrar a AWS y luego pivotar a Azure mediante claves API sin rotación automática."

🔍 Objetivos prácticos:

• Uso de CloudSploit o ScoutSuite para identificar fallos en cada nube.

• Pivoting entre entornos con Pacu (AWS exploitation framework).

• Abuso de misconfigured API Gateway para extraer tokens de acceso.

• Extracción de secretos en entornos Terraform mal gestionados.

🔵 Blue Team – Ejercicios

🟦 Nivel Avanzado

Ejercicio:
"Monitoreo logs en SIEM y veo intentos fallidos en cadena contra servidores Apache. El patrón coincide en todos los sistemas. Implemento alerta de comportamiento anómalo."

🔍 Objetivos prácticos:

• Crear regla en SIEM (por ejemplo, Splunk o ELK) basada en volumen de peticiones HTTP anómalas.

• Usar Wazuh o OSSEC para alertas en Apache logs.

• Iniciar investigación con TheHive + Cortex.

🟦 Nivel Experto

Ejercicio:
"Recibo alerta de Azure Sentinel: autenticaciones desde localizaciones no autorizadas. Activo respuesta automática, corto sesiones en Azure AD y exijo MFA reforzado con número aleatorio."

🔍 Objetivos prácticos:

• Configurar reglas de Conditional Access.

• Activar Azure Sentinel Playbooks (SOAR) para revocar tokens.

• Monitorear acceso con Log Analytics + KQL.

🟦 Nivel Maestro

Ejercicio:
"Desde CSPM (Cloud Security Posture Management), detecto llamadas sospechosas a APIs en distintos entornos multicloud. Identifico patrón común: misma clave API filtrada. Se activa respuesta con rotación automática de credenciales."

🔍 Objetivos prácticos:

• Configurar AWS Config + GuardDuty, Azure Defender, GCP SCC.

• Activar rotación automática con Secrets Manager + Lambda.

• Validar integridad con Terraform Sentinel y auditoría post-incidente.

🟣 Purple Team – Ejercicios

🟪 Nivel Avanzado

Ejercicio:
"Simulo un ataque sobre infraestructura homogénea. El Blue Team detecta patrón en logs. Tras simulacro, se rediseña arquitectura con mix de NGINX y Apache, Linux y Windows Server."

🔍 Objetivos prácticos:

• Evaluación de diversidad de software en Ansible Inventory.

• Simulación con Atomic Red Team.

• Reforzamiento con Bastion Hosts, segmentación L3, control de versiones.

🟪 Nivel Experto

Ejercicio:
"Simulo intrusión por cuenta comprometida en Azure. Se detecta y se activa respuesta automática. Se implementa política de Zero Trust y cambio a MFA adaptativa."

🔍 Objetivos prácticos:

• Auditoría completa con BloodHound sobre roles en Azure.

• Crear runbook de incidentes para rotación de claves y corte de sesiones.

• Simular política de Zero Trust con Zscaler o Twingate.

🟪 Nivel Maestro

Ejercicio:
"Dirijo operación Purple en multicloud con ataque real simulado. El equipo coordina detección, contención y mejora: rotación automática de claves, despliegue de SIEM centralizado y segmentación en Kubernetes."

🔍 Objetivos prácticos:

• Integración multicloud en SIEM central (como Chronicle, Splunk Enterprise, ELK)

• Uso de Kube-Bench y Kube-Hunter para hardening de clústeres.

• Automatización con Terraform + Sentinel + Vault.