🧠 Alegoría: El Castillo y las Capas del Asedio

Imagina tu red como un castillo medieval:

  • Capa 1/2: Son los puentes levadizos y pasadizos secretos. Si no están custodiados, cualquier espía puede entrar al castillo.

  • Capa 3: Es la plaza del castillo donde se otorgan identidades (IP). Si no se verifica quién es quién, cualquiera puede disfrazarse de caballero y moverse entre zonas.

  • Capa 4-7: Son las salas del castillo donde se celebran reuniones privadas. Si no hay guardias en las puertas (puertos y servicios), los intrusos pueden escuchar o sabotear.

🔎 Superficie de ataque por capas

Capa OSI -> Superficie de Ataque ->  Ejemplos Controles Clave
1 - Física -> Acceso a cableado o puertos de red -> Robo de cable, conexión física no autorizada -> Puertos cerrados, CCTV, control físico
2 - Enlace -> Acceso a VLANs, spoofing de MAC -> Ataques ARP, VLAN hopping, port mirroring 802.1X, ACLs en switches, DAI, port security
3 - Red ->  IP spoofing, falta de segmentación Saltar zonas con IP falsas, moverse entre subredes ->  Routing con ACLs, IPsec, firewalls
4 - Transporte -> Escaneo de puertos, DoS, hijacking -> Acceder a servicios por TCP/UDP abiertos Firewalls, IDS/IPS, WAF
5-7 - Aplicación -> Servicios mal configurados o inseguros -> HTTP sin TLS, FTP abierto, APIs expuestas WAF, autenticación multifactor, hardening

🔥 Red Team – ¿Cómo exploto esa superficie?

  1. Capa 2 (Enlace)

    • VLAN Hopping: Uso doble 802.1Q para saltar de una VLAN a otra.

    • Ataques ARP (spoofing): Intercepto tráfico entre dos hosts internos.

    • Herramientas: yersinia, ettercap.

  2. Capa 3 (Red)

    • IP spoofing: Simulo ser un host de confianza.

    • Enrutamiento mal configurado: accedo a zonas internas sin restricción.

  3. Capa 7 (Aplicación)

    • Escaneo con nmap, nikto, burpsuite.

    • Explotación de vulnerabilidades con Metasploit, SQLmap, wpscan.

🛡️ Blue Team – ¿Cómo lo defiendo?

  1. En capa 1/2

    • Port Security en switches para limitar dispositivos por puerto.

    • 802.1X para autenticación de usuarios antes de dar acceso.

    • NAC (Network Access Control).

  2. En capa 3

    • Segmentación lógica con VLANs y firewalls.

    • No permitir rutas por defecto entre zonas de privilegios distintos.

    • DHCP Snooping para evitar asignación fraudulenta de IPs.

  3. En capas 4-7

    • Firewall + WAF (Web Application Firewall).

    • IDS/IPS para detectar escaneos y anomalías.

    • TLS everywhere, autenticación fuerte, zero trust.

Vamos a diseñar un ejercicio Purple Team estratégico sobre superficie de ataque y zonas de seguridad.



🧠 💣 EJERCICIO PURPLE TEAM: Superficie de ataque + Zonas de seguridad

Objetivo: Diseñar, atacar y proteger una infraestructura segmentada por zonas de seguridad, identificando y reduciendo superficies de ataque como haría una CISO de élite.



🛠️ 1. DISEÑO DE ESCENARIO (Visión de Arquitecta)

Imagina que eres la CISO de una empresa de I+D que desarrolla tecnologías sensibles. Vas a segmentar la red en 4 zonas de seguridad, cada una con sus propias funciones, riesgos y controles:

🧩 Zonas de seguridad:

1. Zona Pública (DMZ)

Sitio web, servidor de correo externo, acceso VPN.

Alta exposición, riesgo moderado-alto.



2. Zona Interna Corporativa

Usuarios administrativos, ERP, correo interno.

Tráfico diario de empleados.



3. Zona de Laboratorio I+D

Servidores con prototipos, algoritmos propios, gemelos digitales.

Acceso restringido, máxima confidencialidad.



4. Zona Administrativa / CA Raíz

Controladores de dominio, servidores de autenticación, CA raíz PKI.

Nivel de sensibilidad crítico. Debe estar aislada (air-gapped).




⚠️ Superficie de ataque inicial:

Puertos abiertos expuestos en la DMZ.

VPN sin MFA.

Permisos mal configurados entre red interna y zona I+D.

Falta de control de dispositivos USB en zona CA.

Falta de segmentación interna granular.




🧨 2. Simulación RED TEAM (Ataque controlado)

Tu equipo rojo realiza un ataque progresivo simulando el comportamiento de un APT. La meta: llegar a robar información de la CA raíz o del entorno I+D.

🔴 Paso a paso del ataque (con herramientas reales):

1. Reconocimiento

Nmap + Shodan: Detectan puertos 443 y 80 expuestos en la DMZ.

Wappalyzer: Identifica CMS vulnerable (WordPress sin parche).



2. Explotación inicial

Exploit CVE en WordPress → webshell con Metasploit.

Reverse shell hacia servidor externo.



3. Movimiento lateral

Enumeración con BloodHound, detección de credenciales en memoria con Mimikatz.

Pivoting hacia red interna (RDP, SMB).



4. Persistencia y escalada

Creación de cuentas ocultas con privilegios.

Uso de herramientas como Cobalt Strike para C2.



5. Exfiltración tentativa a I+D

SSH hacia servidores sin segmentación.

Detección de archivos confidenciales → preparación para exfiltración.






🛡️ 3. Simulación BLUE TEAM (Respuesta defensiva)

Tu equipo azul actúa en paralelo y reacciona a cada fase con sus herramientas, alertas y mecanismos de contención.

🔵 Defensa por capas (con herramientas reales):

1. DMZ

WAF (ModSecurity) bloquea patrón de ataque.

Alertas en SIEM (Elastic Stack) detectan tráfico anómalo.

Despliegue de Snort o Suricata alerta tráfico saliente a IPs no autorizadas.



2. Red Interna

NAC (Cisco ISE): bloquea host comprometido en intento de pivoting.

Firewall interno (NGFW) con reglas L7 → deniega salto de zona.

Detección de Mimikatz por EDR (CrowdStrike).



3. Zona I+D

Segmentación interna con VLANs + ACLs → bloqueo de acceso lateral.

Sistema de exfiltración detecta tráfico masivo no autorizado → se activa DLP.



4. Zona CA / Alta Seguridad

Air-gapped + control físico de acceso.

Análisis de USB con sistema USB Firewall.

Auditoría de logs offline: no se detecta intento de intrusión (protección efectiva).






🟣 Visión PURPLE TEAM — Validación

El Purple Team recopila todos los datos del Red y Blue Team para:

Validar si las alertas saltaron donde debían.

Detectar puntos ciegos (¿por qué el atacante logró pasar de la DMZ a la red interna?).

Ajustar reglas SIEM, refinar segmentación, bloquear IOC en firewall, mejorar detección de exfiltración.

Añadir MFA obligatorio en VPN.

Blindar entorno I+D con proxies inversos y más segmentación.




✅ CONCLUSIÓN RESUMIDA

> En este ejercicio, como líder Purple Team, enfrentamos una simulación realista en la que un atacante comprometía nuestra DMZ e intentaba pivotar hacia el entorno de investigación sensible. El Blue Team contuvo el ataque, pero detectamos superficies de ataque innecesarias y segmentaciones débiles.
Este ejercicio nos permitió redefinir nuestra arquitectura de seguridad, fortalecer la visibilidad en cada capa y validar que la zona más crítica (CA raíz) se mantenía impenetrable gracias a una política air-gapped bien diseñada.
Aprendimos que la defensa en profundidad es más que una teoría: es una coreografía precisa entre arquitectura, visibilidad, respuesta y mejora continua.
Una red segura no es la que no sufre ataques, sino la que está preparada para resistir, aprender y evolucionar.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar