Evaluar las capacidades de seguridad de la red
1. ¿Qué es? ¿Cómo funciona? ¿Por qué es importante?
🧱 Líneas base seguras – Secure Baselines (SB)
Definición técnica:
Una línea base segura es una configuración mínima estandarizada y aprobada para un sistema, dispositivo o servicio. Representa el estado seguro por defecto para ese activo, sobre el cual se construyen otras configuraciones específicas.
¿Cómo funciona?
Se parte de una imagen del sistema (por ejemplo, Windows 11) y se definen parámetros de seguridad (desactivar servicios innecesarios, exigir contraseñas fuertes, deshabilitar macros, configurar logs, etc.). Luego, esa imagen se aplica o verifica automáticamente con herramientas como Group Policy Objects – GPO, Ansible, o PowerShell DSC.
¿Por qué es clave?
Porque estandariza la seguridad y evita configuraciones débiles o mal hechas, que suelen ser puerta de entrada a ataques. También facilita auditorías.
📖 Analogía:
Como una receta de cocina estándar que asegura que cada plato salga sabroso y saludable. Si alguien improvisa, puede salir mal. Lo mismo ocurre con los sistemas: sin una receta clara, puede haber errores críticos de seguridad.
🔐 Reforzamiento – System Hardening (SH)
Definición técnica:
El hardening es el proceso de eliminar, deshabilitar o bloquear todo lo innecesario en un sistema operativo, aplicación o red para reducir su superficie de ataque.
¿Cómo funciona?
Se parte de la línea base y se aplican medidas adicionales:
-
Desinstalar software no esencial
-
Bloquear puertos innecesarios
-
Deshabilitar servicios
-
Cambiar configuraciones por defecto
-
Aplicar parches críticos
-
Crear cuentas de servicio con mínimos privilegios
¿Por qué es importante?
Porque todo lo que está activado sin necesidad puede ser usado por un atacante. Reforzar un sistema lo hace menos vulnerable, más predecible y más resistente a técnicas de explotación.
📖 Analogía:
Como reforzar una fortaleza: se tapan túneles, se cierran accesos secretos, se suben los muros y se colocan trampas para el enemigo. Mientras más limpio y simple, más fuerte.
📡 Seguridad inalámbrica – Wireless Security (WS)
Definición técnica:
Conjunto de mecanismos para proteger las redes Wi-Fi contra accesos no autorizados, escucha de datos y ataques de denegación de servicio.
¿Cómo funciona?
-
Se usa cifrado robusto como WPA3 (Wi-Fi Protected Access 3)
-
Se autentica a los usuarios con RADIUS + EAP-TLS (certificados)
-
Se monitoriza el aire para detectar puntos de acceso no autorizados (rogue APs)
-
Se segmentan redes (red de invitados, red interna, IoT separada)
¿Por qué es importante?
Las redes inalámbricas son más vulnerables por naturaleza, ya que cualquier dispositivo cercano puede intentar conectarse o espiar. Por tanto, su seguridad debe ser más estricta.
📖 Analogía:
Como proteger una radio secreta de espías: necesitas claves, frecuencias seguras y verificar la identidad de quien te contacta.
🌐 Control de acceso a la red – Network Access Control (NAC)
Definición técnica:
NAC es un sistema que verifica la identidad, el estado de seguridad y el cumplimiento de políticas de todo dispositivo antes de permitirle conectarse a la red.
¿Cómo funciona?
-
Evalúa si el dispositivo tiene antivirus actualizado, está parcheado y cumple reglas.
-
Si pasa, le da acceso completo.
-
Si no, lo pone en una red aislada para remediación o lo bloquea.
Tecnologías comunes:
-
802.1X (autenticación de puerto)
-
RADIUS
-
Cisco ISE, FortiNAC, Aruba ClearPass
¿Por qué es importante?
Porque evita que un dispositivo no seguro o un atacante logre conectarse y moverse lateralmente en la red. Especialmente útil en redes empresariales con BYOD (Bring Your Own Device) o IoT.
📖 Analogía:
Como en la entrada de un evento: te piden identificación, te toman la temperatura y si cumples, puedes entrar. Si no, te mandan a una zona de espera o te niegan el paso.
2. Ejemplos prácticos en entornos reales
Concepto: Caso de uso real -> Consecuencia de no implementarlo
- SB Empresas como Microsoft publican guías de línea base para Windows. -> Muchas organizaciones usan CIS Benchmarks para definirlas. Sistemas con configuraciones inseguras, como RDP abierto sin control.
- Hardening En servidores de bases de datos se eliminan puertos no utilizados, desactivan scripts, y se usa logging reforzado. -> Ataques como SQL Slammer se propagan por servicios inseguros activos.
- Wireless En una oficina corporativa, se habilita WPA3 -> Enterprise + RADIUS. Se monitoriza con Aircrack-ng o Wireshark para detectar amenazas. -> Redes WiFi con contraseñas débiles permiten sniffing y ataques MITM.
- NAC En una universidad, los estudiantes se conectan con sus dispositivos. NAC verifica antivirus, parches y autenticación por certificado. -> Dispositivos sin control abren la puerta a infecciones como malware o ransomware.
3. Herramientas y soluciones reales
Categoría: Herramientas Profesionales -- Función
- SB: CIS Benchmarks, Microsoft Security Baselines, SCAP, OpenSCAP -- Plantillas de línea base seguras
- Hardening: Lynis (Linux), Bastille, Chef, Ansible, PowerShell DSC -- Automatización y validación
- Wireless: Aircrack-ng, Wireshark, Kismet, Ekahau, WIDS (Wireless IDS) -- Detección de amenazas en red Wi-Fi
- NAC: Cisco ISE, FortiNAC, Aruba ClearPass, Portnox, Forescout -- Aplicación de políticas de acceso a red
4. Visión estratégica de los equipos
🔴 Red Team
-
Busca dispositivos sin líneas base o sin hardening: puntos débiles.
-
Lanza ataques MITM en redes Wi-Fi mal configuradas (Rogue AP, Evil Twin).
-
Conecta dispositivos no autorizados para evadir NAC o simula dispositivos legítimos (MAC spoofing).
-
Explota configuraciones por defecto o servicios sin parches.
🔵 Blue Team
-
Aplica líneas base seguras como parte del ciclo de vida del sistema.
-
Automatiza el hardening desde el despliegue inicial.
-
Implementa seguridad Wi-Fi de nivel empresarial + monitoreo WIDS.
-
Usa NAC para controlar quién entra, con qué dispositivo y en qué estado.
🟣 Purple Team
-
Testea constantemente si las líneas base están aplicadas.
-
Simula ataques de Red Team para verificar que NAC los bloquea.
-
Ajusta políticas en tiempo real según las lecciones aprendidas.
-
Automatiza parches, revisiones y respuesta a dispositivos no conformes.
5. Resumen práctico
Las capacidades de seguridad de red comienzan por definir líneas base seguras y aplicar hardening para reducir superficies de ataque.
La seguridad inalámbrica protege una de las entradas más vulnerables: el aire.
El control de acceso a red (NAC) garantiza que ningún dispositivo acceda sin cumplir las normas.
Estos cuatro pilares permiten crear una red resistente, controlada y segmentada, lista para detectar y contener amenazas.
6. Conceptos Clave con Resumen Explicativo
Secure Baseline – Línea Base Segura (SB)
Una configuración mínima y estandarizada de seguridad aprobada que sirve como punto de partida para asegurar un sistema. Garantiza que todos los dispositivos cumplen requisitos básicos de seguridad.
System Hardening – Reforzamiento del Sistema (SH)
Proceso de eliminar configuraciones inseguras, deshabilitar servicios innecesarios y aplicar medidas que reducen la superficie de ataque de un sistema o red.
Wireless Security – Seguridad Inalámbrica (WS)
Conjunto de técnicas diseñadas para proteger redes Wi-Fi frente a accesos no autorizados, escucha de datos y ataques activos. Incluye cifrado (WPA3), autenticación robusta (RADIUS), y detección de puntos de acceso falsos.
Network Access Control – Control de Acceso a la Red (NAC)
Sistema que verifica si un dispositivo cumple con las políticas de seguridad antes de permitirle acceso a la red. Evalúa antivirus, parches, identidad, etc., y permite o deniega el acceso según reglas definidas.
802.1X – Estándar de Autenticación de Red
Protocolo que controla el acceso a la red autenticando los dispositivos antes de que puedan establecer conexión. Se usa ampliamente en redes Wi-Fi y cableadas con integración de RADIUS.
RADIUS – Remote Authentication Dial-In User Service
Protocolo de autenticación centralizada que gestiona el acceso de usuarios a redes, VPNs o sistemas. Permite verificar identidades y aplicar políticas de acceso desde un servidor dedicado.
RBAC – Role-Based Access Control
Modelo de control de acceso que asigna permisos a usuarios en función de su rol dentro de la organización, limitando el acceso a recursos solo a quienes lo necesitan según su función.
MFA – Multi-Factor Authentication
Método de autenticación que requiere al menos dos factores: algo que sabes (contraseña), algo que tienes (token o móvil), y/o algo que eres (huella, rostro). Aumenta la seguridad frente a ataques de credenciales.
SCAP – Security Content Automation Protocol
Marco estandarizado para automatizar auditorías de configuración de seguridad y verificar el cumplimiento de políticas en sistemas operativos y aplicaciones.
CIS – Center for Internet Security
Organización sin fines de lucro que publica guías y benchmarks de configuración segura (CIS Benchmarks) para plataformas comunes como Windows, Linux, AWS, etc.
Ansible / Chef – Herramientas de Automatización
Plataformas que permiten automatizar la configuración y gestión de sistemas, ideales para aplicar líneas base, reforzamiento y mantener coherencia en entornos grandes.
Wireshark – Analizador de Tráfico de Red
Herramienta gráfica que permite capturar y examinar paquetes de red en detalle. Utilizada para análisis forense, resolución de problemas y detección de anomalías en redes.
Aircrack-ng – Suite de Auditoría Wi-Fi
Conjunto de herramientas utilizadas para analizar y romper la seguridad de redes Wi-Fi. Permite pruebas de penetración sobre cifrados como WEP y WPA/WPA2-PSK.
Cisco ISE / FortiNAC – Soluciones NAC Empresariales
Plataformas avanzadas que gestionan políticas de acceso a la red. Verifican identidad, estado del dispositivo, y aplican acciones como aislamiento o denegación de acceso en tiempo real.
CURIOSIDADES Y CLAVES
🧱 Secure Baseline – Línea Base Segura (SB)
-
🔐 Las líneas base cambian con el tiempo:
No son estáticas. A medida que cambian las amenazas, las tecnologías y los parches, una línea base debe revisarse y actualizarse periódicamente. Las organizaciones de alto nivel las revisan cada 3-6 meses. -
🧪 Existen herramientas para validarlas automáticamente:
-
OpenSCAP, Microsoft Security Compliance Toolkit, Lynis…
Estas herramientas escanean el sistema y comparan contra las líneas base.
-
-
📚 CIS Benchmarks y STIGs no son lo mismo:
-
CIS Benchmarks son guías abiertas y comunitarias.
-
STIGs – Security Technical Implementation Guides son del Departamento de Defensa de EE. UU., más estrictos.
-
-
🧠 Línea base ≠ Imagen del sistema:
Aunque muchas empresas implementan sus líneas base como una imagen de disco (golden image), la línea base es una definición lógica/documental, no física. Puede aplicarse con scripts, GPOs, o herramientas DevSecOps.
🔐 System Hardening – Reforzamiento del Sistema (SH)
-
💣 El hardening rompe cosas si no se prueba antes:
Muchos servicios o aplicaciones dejan de funcionar si deshabilitas servicios necesarios. Por eso, el hardening siempre se prueba primero en un entorno de staging o laboratorio. -
🧬 Hay múltiples capas de hardening:
-
BIOS/UEFI (desactivar arranque desde USB)
-
Sistema Operativo (desactivar SMBv1, activar DEP/ASLR)
-
Aplicaciones (configuración de Apache, Nginx, PostgreSQL…)
-
Redes (firewalls, ACLs, NAT…)
-
-
🕸️ Hardening y segmentación van de la mano:
No basta con blindar cada nodo; también hay que limitar la conectividad entre ellos para contener ataques si uno es comprometido. -
🔁 Hardening no es algo que se hace una vez y ya:
Hay que hacer re-hardening periódicamente. Muchos administradores instalan software nuevo, modifican servicios, abren puertos… sin actualizar la política de hardening. Eso rompe todo el modelo de seguridad.
📡 Wireless Security – Seguridad Inalámbrica
-
💥 La mayoría de redes Wi-Fi empresariales aún usan WPA2-PSK (con contraseña compartida):
Esto es un riesgo altísimo, ya que si una sola persona comparte la clave, cualquier atacante puede entrar. El modo seguro es WPA2/3 Enterprise con autenticación basada en certificados o RADIUS. -
🎯 "Evil Twin" es uno de los ataques más peligrosos en Wi-Fi:
Un atacante crea un punto de acceso con el mismo nombre (SSID) que el oficial, y el usuario se conecta sin saberlo. A partir de ahí, puede hacer phishing, MITM, o interceptar tráfico. -
📲 BYOD y dispositivos personales son grandes riesgos:
Muchos dispositivos personales tienen malware sin saberlo. Si los dejas entrar en la red Wi-Fi interna, pueden actuar como caballos de Troya. Por eso, crear redes separadas para invitados e IoT es obligatorio. -
🔭 Puedes detectar ataques inalámbricos pasivos con WIDS:
Un Wireless Intrusion Detection System monitoriza el espectro de radiofrecuencia para detectar patrones anómalos, AP falsos, jamming, etc. Ej: AirMagnet, Aruba RFProtect, Kismet.
🌐 NAC – Network Access Control
-
🧠 NAC ≠ solo control de acceso:
Las soluciones modernas de NAC permiten microsegmentar la red, detectar comportamientos anómalos, e incluso aplicar respuesta automática (aislar, revocar permisos, desviar tráfico). -
🎭 Los atacantes pueden suplantar dispositivos autorizados (spoofing):
Usan herramientas como MAC Changer para copiar la MAC de un dispositivo legítimo. Por eso, NAC moderno no debe basarse solo en MAC, sino también en certificados, posture check y otros factores. -
🔄 El NAC actúa antes, durante y después del acceso:
-
Antes: valida dispositivo y usuario.
-
Durante: supervisa su comportamiento.
-
Después: aplica remediación o revocación si detecta algo raro.
-
-
🛂 NAC se integra con SIEM, antivirus, y MDM:
Para tomar decisiones más inteligentes, los NAC modernos recopilan datos del endpoint, del antivirus, del firewall, del SIEM, etc. Así pueden decir: "Este portátil tiene un virus → a la cuarentena". -
🛑 Problema común:
Muchas organizaciones implementan NAC solo en Wi-Fi y no en red cableada, dejando expuestos los switches. Un atacante puede conectar un portátil por Ethernet y evitar el NAC si no se ha protegido ese puerto.
Curiosidad Avanzada: Red + Wireless + NAC = Zero Trust en acción
Cuando aplicas:
-
Líneas base + hardening en el endpoint
-
Autenticación robusta + segmentación en Wi-Fi
-
Evaluación de contexto + respuesta adaptativa con NAC
Estás poniendo en práctica el modelo Zero Trust, incluso si no usas ese nombre. Cada capa refuerza a la otra y reduce drásticamente el radio de impacto de cualquier intrusión.
EJERCICIOS PURPLE TEAM
Bloque: Evaluar capacidades de seguridad de la red
EJEMPLO 1 – Nivel Avanzado
Escenario: Endpoint Windows con configuración débil + Wi-Fi inseguro
🔴 Red Team ataca
-
Detecta una red Wi-Fi WPA2-PSK con contraseña débil.
-
Lanza ataque Evil Twin (usando airbase-ng) con mismo SSID.
-
Usuario conecta sin darse cuenta → intercepta tráfico DNS y roba cookies.
-
En paralelo, ataca un endpoint Windows 10 sin hardening usando Metasploit → explota SMBv1 activo.
🔵 Blue Team defiende
-
Detecta el SSID duplicado con WIDS (Kismet).
-
Aísla usuarios conectados a SSID falso.
-
Usa Lynis y Microsoft Baseline Analyzer para auditar configuración del endpoint.
-
Aplica línea base reforzada, desactiva SMBv1 y habilita firewall con reglas restrictivas.
-
Segmenta red Wi-Fi con VLAN separadas para invitados y dispositivos BYOD.
🟣 Purple Team gestiona
-
Valida que los ataques fueron detectados por el SIEM.
-
Corrige deficiencias en la línea base y automatiza despliegue con Ansible.
-
Establece rutina de escaneo Wi-Fi mensual y test de penetración anual.
-
Genera informe técnico con cronología del incidente, métricas y acciones correctivas.
EJEMPLO 2 – Nivel Experto
Escenario: Red empresarial sin NAC implementado correctamente
🔴 Red Team ataca
-
Accede físicamente a un puerto Ethernet mal protegido.
-
Usa MAC Changer para clonar la MAC de un dispositivo legítimo.
-
Gana acceso a la red interna sin ser detectado.
-
Usa herramientas como Responder y BloodHound para mapear el dominio y moverse lateralmente.
🔵 Blue Team defiende
-
Reconfigura switches para requerir autenticación 802.1X en todos los puertos.
-
Implementa NAC (ej. Cisco ISE) con posture check: antivirus, versión de SO, parches.
-
Crea alertas SIEM si un dispositivo cambia de MAC varias veces en 24h.
-
Aplica segmentación basada en función del dispositivo (IoT ≠ servidor ≠ RRHH).
🟣 Purple Team gestiona
-
Ejecuta ataques de suplantación controlados regularmente.
-
Verifica que los sistemas de control de acceso bloquean la intrusión en tiempo real.
-
Integra NAC con herramientas de EDR para bloquear automáticamente equipos con actividad maliciosa.
-
Documenta lecciones aprendidas y entrena al equipo Blue en detección de MAC spoofing.
EJEMPLO 3 – Nivel Maestro
Escenario: Infraestructura crítica sin validación continua de líneas base
🔴 Red Team ataca
-
Identifica un servidor Linux no conforme con la política de hardening.
-
Usa nmap y nikto para escanear servicios activos: encuentra Apache sin SSL y MySQL abierto en el exterior.
-
Explota una vulnerabilidad conocida en Apache (CVE-2021-41773).
-
Gana shell y despliega una puerta trasera.
🔵 Blue Team defiende
-
Realiza escaneo automático de líneas base con OpenSCAP y Ansible Lint.
-
Cierra puertos abiertos innecesarios, reconfigura Apache y MySQL.
-
Habilita logging agresivo y envío a SIEM.
-
Aplica honeypots para detectar movimientos sospechosos internos.
🟣 Purple Team gestiona
-
Diseña pipelines CI/CD que validan líneas base antes de desplegar infra.
-
Automatiza escaneo de desviaciones cada semana.
-
Integra alertas de OpenSCAP y Lynis con el SIEM.
-
Establece métricas de cumplimiento (compliance score por activo) y las incluye en reportes para la dirección.
Resultado del entrenamiento:
-
Detectas debilidades invisibles en redes Wi-Fi, LAN y sistemas mal configurados.
-
Automatizas controles que antes eran manuales (líneas base, hardening, acceso).
-
Respondes con visión integral: estrategia, remediación técnica, y mejora continua.
-
Comprendes la visión táctica del Red Team, la defensa inteligente del Blue, y la magia de integración del Purple.