Purple Teaming: un nuevo enfoque para navegar el Siglo 21

El enfoque de Purple Teaming combina aspectos de Red Teaming y Blue Teaming para mejorar la postura de seguridad de una organización.

En lugar de simplemente realizar pruebas de penetración (Red Teaming) o enfocarse en defender y monitorear sistemas (Blue Teaming), el Purple Teaming busca una colaboración más estrecha entre los equipos de seguridad ofensiva y defensiva.


El objetivo principal del Purple Teaming es simular los métodos y tácticas utilizados por los atacantes reales, utilizando la matriz MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) y el modelo de amenazas específico de la organización. Esto implica que el equipo de Red Teaming utilice estas referencias para diseñar y ejecutar escenarios de ataque realistas, tratando de emular las técnicas de los atacantes conocidos.


Mientras tanto, el equipo de Blue Teaming está presente para observar y responder a los ataques simulados, utilizando los controles de seguridad de la información existentes y las medidas compensatorias implementadas en la organización. Su objetivo es probar la eficacia de estos controles y medidas y mejorarlos en base a los resultados obtenidos.


La interacción entre los equipos de Red Teaming y Blue Teaming es esencial en el Purple Teaming. Se llevan a cabo sesiones de revisión posteriores a los ataques, en las que ambos equipos colaboran para analizar las tácticas utilizadas, los puntos débiles identificados y las medidas defensivas efectivas. Esta colaboración ayuda a fortalecer las defensas y mejorar la capacidad de respuesta de la organización frente a amenazas cibernéticas.


El Purple Teaming es un enfoque que combina simulaciones de ataques con la implementación y mejora de controles de seguridad. A través de la colaboración estrecha entre los equipos de Red Teaming y Blue Teaming, se busca fortalecer la postura de seguridad y la capacidad de defensa de una organización en cada etapa de la cadena cibernética.



Red Team, un protagonista del Purple Team


El término “Purple Teaming” se utiliza en el ámbito de la ciberseguridad para describir la colaboración entre los equipos de defensa (Equipo Azul) y los equipos de ataque simulado (Equipo Rojo).


La idea principal es que estos dos equipos trabajen juntos de manera estrecha y efectiva para mejorar la postura de seguridad de una organización.


La analogía con los ejercicios tácticos militares es válida. Durante esos ejercicios, los equipos se identificaban mediante brazaletes rojos y azules para representar a los “enemigos” y a los “amigos” respectivamente.


La introducción del término “Purple Team” en la industria de la seguridad de la información fue una forma de denotar la combinación de los roles de atacante y defensor, buscando una mayor sinergia y comprensión entre ambos equipos.


En el contexto de la ciberseguridad, el Equipo Rojo desempeña el papel de un atacante simulado, tratando de encontrar vulnerabilidades en los sistemas de una organización, mientras que el Equipo Azul representa al equipo de defensa, encargado de detectar, responder y mitigar esas amenazas.


El Equipo Morado (o “Purple Team”) se forma cuando se fomenta una colaboración estrecha entre ambos equipos, compartiendo conocimientos, información y estrategias para mejorar la seguridad general de la organización.


El término “Purple Teaming” se utiliza para describir la sinergia y colaboración entre los equipos de ataque y defensa en el ámbito de la ciberseguridad, con el objetivo de mejorar la postura de seguridad de una organización.


El propósito del trabajo es probar la capacidad de Blue Team para detectar ataques con un retraso de tiempo mínimo, responder de manera efectiva y contrarrestar a los atacantes reales. En el curso del trabajo, los especialistas del equipo atacante desarrollan constantemente todas las tácticas, técnicas y procedimientos conocidos públicamente de los intrusos (TTP – tácticas, técnicas y procedimientos).


Los principales objetivos del proyecto Purple Teaming son:

Formación y actualización del modelo de amenazas:

El equipo de Purple Teaming desempeña un papel fundamental en la formación y actualización del modelo de amenazas de la organización.


A continuación, se describen los pasos principales involucrados en este proceso:


Investigación de amenazas: El equipo de Purple Teaming realiza una investigación continua para identificar las últimas técnicas y tácticas utilizadas por los actores maliciosos. Esto implica estar al tanto de las noticias y tendencias en la ciberseguridad, participar en comunidades y grupos de discusión relevantes, analizar informes de amenazas y mantenerse informado sobre las vulnerabilidades recientemente descubiertas.

Análisis de riesgos: Una vez que se identifican las últimas técnicas y tácticas, el equipo de Purple Teaming realiza un análisis de riesgos para determinar qué amenazas son más relevantes y tienen un mayor potencial de impacto en la organización. Esto implica evaluar las vulnerabilidades y debilidades específicas de la infraestructura, los sistemas y los procesos de la organización.

Actualización del modelo de amenazas: Con base en la investigación de amenazas y el análisis de riesgos, el equipo de Purple Teaming actualiza el modelo de amenazas de la organización. Esto implica documentar y clasificar las nuevas técnicas y tácticas identificadas, así como las vulnerabilidades y debilidades relevantes. El modelo de amenazas actualizado proporciona una representación clara y detallada de los posibles escenarios de ataque y los vectores de amenazas que podrían afectar a la organización.

Pruebas y validación: Una vez actualizado el modelo de amenazas, el equipo de Purple Teaming lleva a cabo pruebas y ejercicios de validación para evaluar la eficacia del modelo. Esto puede implicar la realización de pruebas de penetración, simulaciones de ataques o ejercicios de red teaming para poner a prueba las defensas de la organización frente a las amenazas identificadas. Los resultados de estas pruebas ayudan a refinar y mejorar el modelo de amenazas.

Comunicación y capacitación: El equipo de Purple Teaming se encarga de comunicar y compartir el conocimiento sobre las últimas técnicas y tácticas de amenazas con otros equipos de la organización, como el equipo de seguridad, el equipo de desarrollo de software y los usuarios finales. Esto puede incluir la realización de sesiones de capacitación, la creación de material educativo y la participación en reuniones o foros internos para aumentar la conciencia sobre la seguridad y la importancia de mantenerse actualizado sobre las amenazas.

El equipo de Purple Teaming se dedica a la investigación, actualización y validación continua del modelo de amenazas de la organización. Su objetivo es asegurarse de que la organización esté preparada para enfrentar las últimas técnicas y tácticas de los actores maliciosos, y mitigar las vulnerabilidades y debilidades específicas que podrían afectarla.


Coordinación y aprobación de riesgos comerciales clave:

La coordinación y aprobación de riesgos comerciales clave por parte del proyecto Purple Teaming implica una colaboración estrecha con los equipos de gestión de riesgos y los líderes comerciales de la organización.


A continuación, se detallan los pasos involucrados en este proceso:


Identificación de riesgos comerciales clave: El equipo de Purple Teaming, en conjunto con los equipos de gestión de riesgos y líderes comerciales, identifica los riesgos comerciales clave basados en el modelo de amenazas actualizado. Estos riesgos se centran en las amenazas más críticas que podrían afectar a la organización, considerando su impacto potencial y la probabilidad de ocurrencia.

Evaluación de riesgos: Una vez identificados los riesgos comerciales clave, se realiza una evaluación detallada de cada uno de ellos. Esto implica analizar la exposición actual de la organización frente a estos riesgos, determinar la efectividad de las medidas de mitigación existentes y evaluar las posibles consecuencias si los riesgos se materializan.

Coordinación de medidas de mitigación: El equipo de Purple Teaming trabaja en estrecha colaboración con los equipos de gestión de riesgos y líderes comerciales para coordinar las medidas de mitigación necesarias. Esto implica definir las acciones específicas que deben tomarse para reducir la probabilidad de ocurrencia de los riesgos identificados y minimizar su impacto en caso de que se materialicen. Estas medidas pueden incluir la implementación de controles de seguridad adicionales, la actualización de políticas y procedimientos, la capacitación del personal o la mejora de la infraestructura de seguridad.

Evaluación y aprobación de riesgos: Una vez que se han definido las medidas de mitigación, el equipo de Purple Teaming colabora con los equipos de gestión de riesgos y líderes comerciales para evaluar la efectividad esperada de estas medidas. Se consideran aspectos como el costo, el tiempo de implementación y la viabilidad técnica. Luego, los riesgos comerciales clave y las medidas de mitigación propuestas se presentan a los líderes comerciales para su aprobación final.

Monitoreo continuo: Una vez aprobadas las medidas de mitigación, el equipo de Purple Teaming mantiene un monitoreo continuo de los riesgos comerciales clave y su efectividad. Esto implica revisar regularmente la situación de seguridad de la organización, realizar pruebas y evaluaciones periódicas, y actualizar el modelo de amenazas según sea necesario. Si se identifican cambios en las amenazas o nuevas vulnerabilidades, se coordina la implementación de medidas de mitigación adicionales o la revisión de las existentes.

El proyecto Purple Teaming trabaja en colaboración con los equipos de gestión de riesgos y líderes comerciales para identificar, evaluar y coordinar las medidas de mitigación necesarias para los riesgos comerciales clave.


Esto asegura que la organización esté preparada y protegida frente a las amenazas más críticas, y que se tomen las decisiones adecuadas para gestionar los riesgos de manera efectiva.


Blue Team el otro partícipe del Purple Teaming


Planificación, preparación y coordinación de escenarios y vectores de ataque:


El equipo de Purple Teaming juega un papel crucial en la evaluación de la postura de seguridad de una organización al planificar, preparar y coordinar escenarios y vectores de ataque. Su objetivo principal es identificar las debilidades en los sistemas y procesos de seguridad existentes, así como evaluar la eficacia de las medidas de protección implementadas.


Para llevar a cabo esta tarea, el equipo de Purple Teaming utiliza el modelo de amenazas y la matriz MITRE. El modelo de amenazas proporciona una visión detallada de los diferentes tipos de amenazas que pueden enfrentar una organización, lo que permite al equipo de Purple Teaming identificar y seleccionar los escenarios de ataque más relevantes y realistas.


La matriz MITRE, por otro lado, es una herramienta ampliamente utilizada que enumera los diferentes tipos de tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes en el mundo real. Esta matriz permite al equipo de Purple Teaming seleccionar y adaptar las tácticas de ataque más apropiadas para cada escenario planificado.


Una vez que se han identificado los escenarios de ataque y los vectores de ataque relevantes, el equipo de Purple Teaming se encarga de coordinar su implementación. Esto puede implicar la creación y configuración de entornos de prueba, la selección de herramientas y técnicas de ataque, y la ejecución de los ataques simulados.


Durante la simulación de ataques, el equipo de Purple Teaming monitorea y registra las acciones realizadas, las técnicas utilizadas y los resultados obtenidos. Esta información se utiliza posteriormente para evaluar la preparación de la organización y la eficacia de las medidas de seguridad implementadas.


Al finalizar la simulación de ataques, el equipo de Purple Teaming proporciona un informe detallado que incluye las vulnerabilidades identificadas, las deficiencias en las medidas de seguridad y las recomendaciones para mejorar la postura de seguridad de la organización.


La planificación, preparación y coordinación de escenarios y vectores de ataque por parte del equipo de Purple Teaming es fundamental para evaluar la preparación de una organización frente a amenazas y garantizar que las medidas de seguridad implementadas sean eficaces y adecuadas.


Implementación por etapas de escenarios acordados:

La implementación por etapas de escenarios acordados entre el equipo de Purple Teaming y los especialistas de las divisiones SOC (Centro de Operaciones de Seguridad) es una estrategia efectiva para mejorar la capacidad de detección y respuesta de los equipos de seguridad ante ataques simulados.


Este proceso se puede dividir en las siguientes etapas:


Identificación de escenarios: El equipo de Purple Teaming y los especialistas de SOC deben trabajar juntos para identificar los escenarios de ataque más relevantes y realistas para la organización. Estos pueden incluir ataques de phishing, malware, ransomware, exploits de vulnerabilidades, entre otros.

Planificación y documentación: Una vez que se han identificado los escenarios de ataque, es importante planificar y documentar los detalles de cada uno. Esto puede incluir la descripción del ataque, el objetivo, los métodos utilizados, las herramientas y los indicadores de compromiso.

Ejecución de los ataques simulados: Con los escenarios de ataque planificados y documentados, el equipo de Purple Teaming debe llevar a cabo los ataques simulados en diferentes etapas. Es importante tener en cuenta que estos ataques deben ser realizados de forma controlada y en un entorno de prueba para minimizar el riesgo de daños a la infraestructura de la organización.

Evaluación de la capacidad de detección y respuesta: Durante la ejecución de los ataques simulados, el equipo de Purple Teaming debe evaluar la capacidad de detección y respuesta de los equipos SOC. Esto puede incluir la evaluación de la rapidez con la que se detecta el ataque, la efectividad de las medidas de mitigación y la respuesta ante el incidente.

Retroalimentación y mejora continua: Una vez completadas las pruebas de los escenarios de ataque, el equipo de Purple Teaming y los especialistas de SOC deben trabajar juntos para analizar los resultados y proporcionar retroalimentación. Esto puede incluir recomendaciones para mejorar los procesos y procedimientos de detección y respuesta, así como la implementación de medidas adicionales de seguridad para reducir los riesgos identificados.

La implementación por etapas de escenarios acordados es una estrategia efectiva para mejorar la capacidad de detección y respuesta de los equipos SOC. Al trabajar juntos para identificar los escenarios de ataque más relevantes, planificar y documentar los detalles de cada uno, ejecutar los ataques simulados y evaluar los resultados, las organizaciones pueden mejorar su capacidad para detectar y responder eficazmente a los ataques.


Evaluación de la efectividad del trabajo de las unidades SOC:


La evaluación de la efectividad del trabajo de las unidades SOC (Centro de Operaciones de Seguridad, por sus siglas en inglés) es fundamental para asegurar que estén cumpliendo adecuadamente su función de proteger los sistemas y redes de una organización contra amenazas de seguridad.


Durante cada etapa de implementación de escenarios, el equipo de Purple Teaming se encarga de evaluar la efectividad del trabajo de las unidades SOC.


Esta evaluación se centra en varios aspectos clave:


Herramientas de monitoreo: Se evalúa la calidad y eficacia de las herramientas utilizadas por el SOC para monitorear la infraestructura de la organización. Esto incluye la revisión de la configuración y capacidad de las herramientas de monitoreo, así como su capacidad para detectar eventos y actividades maliciosas.

Mecanismos y métodos de detección: Se analizan los mecanismos y métodos utilizados por el SOC para detectar y alertar sobre posibles amenazas de seguridad. Esto implica revisar las reglas de detección, las firmas de malware, los indicadores de compromiso (IoC), así como la capacidad de análisis de tráfico y comportamiento anómalo.

Procesos de respuesta: Se evalúa la capacidad del SOC para responder de manera efectiva y oportuna ante incidentes de seguridad. Esto implica revisar los procesos de gestión de incidentes, los planes de respuesta a incidentes, la capacidad de contención y mitigación de amenazas, así como la coordinación con otros equipos y áreas relevantes.

La evaluación de estos aspectos permite identificar fortalezas y debilidades en las capacidades de detección y respuesta del SOC. Se busca determinar si las herramientas y los procesos implementados son eficientes, si se están utilizando de manera adecuada y si se requieren mejoras para optimizar la capacidad de detección y respuesta ante amenazas.


La información obtenida durante la evaluación es fundamental para mejorar las capacidades del SOC. Se utilizan los resultados y las recomendaciones derivadas de la evaluación para realizar ajustes en la configuración de las herramientas, fortalecer los mecanismos y métodos de detección, y mejorar los procesos de respuesta. Esto permite incrementar la eficacia del SOC y fortalecer la postura de seguridad de la organización en general.


Elaboración de recomendaciones para mejorar la eficiencia de las unidades SOC:

algunas recomendaciones para mejorar la eficiencia de las unidades SOC (Centro de Operaciones de Seguridad):


Implementar un enfoque de protección proactiva: En lugar de depender únicamente de medidas reactivas, es importante implementar controles de seguridad proactivos. Esto incluye la implementación de sistemas de detección y prevención de intrusiones, configuración adecuada de firewalls, segmentación de red y análisis continuo de vulnerabilidades.

Realizar pruebas de simulación de ataques: Llevar a cabo ejercicios regulares de simulación de ataques, como los utilizados en el proyecto Purple Teaming, puede ayudar a identificar brechas en la seguridad y evaluar la eficacia de las defensas existentes. Estas pruebas pueden ayudar a mejorar la detección y respuesta frente a ataques reales.

Establecer métricas y KPIs claros: Es fundamental definir métricas de rendimiento y objetivos clave de desempeño (KPIs) para evaluar la eficiencia de las operaciones de seguridad. Esto puede incluir el tiempo medio de detección y respuesta, la tasa de detección de amenazas y la eficacia de las medidas de mitigación implementadas. Estas métricas ayudarán a medir el progreso y detectar áreas que requieren mejoras.

Automatizar procesos rutinarios: Identificar tareas repetitivas y rutinarias en el SOC y buscar oportunidades para automatizarlas. Esto permitirá a los analistas de seguridad centrarse en actividades de mayor valor, como la investigación de amenazas complejas y la toma de decisiones.

Fomentar la colaboración entre equipos: Promover la colaboración y la comunicación efectiva entre los equipos de seguridad, TI y otras partes interesadas. Esto ayudará a agilizar la detección y respuesta a incidentes, así como a facilitar el intercambio de conocimientos y la implementación de soluciones integradas.

Capacitar y actualizar regularmente al personal: Proporcionar capacitación continua a los analistas de seguridad para mantenerse al día con las últimas técnicas y herramientas de ataque. Esto asegurará que el personal esté preparado para enfrentar nuevas amenazas y pueda utilizar eficazmente las soluciones de seguridad implementadas.

Implementar un enfoque basado en inteligencia de amenazas: Integrar fuentes de inteligencia de amenazas en las operaciones diarias del SOC puede ayudar a identificar y mitigar de manera proactiva los riesgos de seguridad. Esto implica utilizar información actualizada sobre tácticas, técnicas y procedimientos de los actores de amenazas para mejorar las defensas y la capacidad de respuesta.

Realizar auditorías y revisiones periódicas: Realizar auditorías internas y revisiones periódicas de los procesos, políticas y procedimientos de seguridad del SOC. Esto ayudará a identificar posibles mejoras, brechas en la seguridad y áreas de riesgo que requieran atención adicional.

Al implementar estas recomendaciones, se puede mejorar significativamente la eficiencia del SOC y fortalecer la postura de seguridad de una organización frente a las amenazas actuales y emergentes.


Al mismo tiempo, no debes confundir Purple Teaming y ciberenseñanzas. La principal diferencia entre ellos es que los ciberejercicios se entrenan en una infraestructura de “laboratorio” cercana a la real, mientras que Purple Teaming se lleva a cabo en una infraestructura de “combate” y tiene en cuenta las características de configuración de las soluciones de seguridad y herramientas específicas de Blue Team. .


Según los resultados de las pruebas de Purple Team, el cliente recibe información objetiva sobre el estado del nivel de seguridad de la información, es decir, qué acciones de los atacantes son visibles para los servicios de seguridad de la información y en qué condiciones, y cuáles de estas acciones pasan desapercibidas. y puede conducir al desarrollo de un ataque y la implementación de eventos inaceptables.


Además, el cliente recibe recomendaciones prácticas para mejorar la calidad de contrarrestar a los intrusos, reducir el tiempo de detección y respuesta, configurar y ampliar el alcance de los sistemas de protección de la información.


El Purple Teaming ofrece capacidades adicionales en comparación con las pruebas de penetración estándar o el Red Teaming. Mientras que el Red Teaming se centra en lograr un objetivo de manera sigilosa, lo que limita los escenarios de ataque y las oportunidades de respuesta optimizada, el Purple Teaming proporciona una evaluación más completa y exhaustiva de la seguridad de una organización.


Al fomentar la colaboración entre los equipos de ataque (rojo) y defensa (azul), se amplía el rango de incidentes cubiertos por el monitoreo y se identifican cadenas de muerte, es decir, secuencias de acciones maliciosas que pueden conducir a una violación de seguridad.


La colaboración en tiempo real entre los equipos rojo y azul, donde comparten información y conocimientos, mejora la eficacia de las actividades de detección y remediación de incidentes.



El futuro del SOC está en el Purple Teaming


La interacción y colaboración entre los equipos rojo y azul en el Purple Teaming no solo mejora la capacidad de respuesta frente a los ataques simulados durante las pruebas, sino que también contribuye a mejorar las habilidades y conocimientos de los participantes.


Al trabajar juntos, los miembros del equipo rojo pueden compartir técnicas de ataque y perspectivas que ayudan al equipo azul a comprender mejor las tácticas utilizadas por los adversarios reales.


Esto les brinda la oportunidad de mejorar sus habilidades de detección, respuesta y mitigación de amenazas.


Al mismo tiempo, los defensores del equipo azul pueden compartir conocimientos sobre la infraestructura de seguridad, las políticas y procedimientos internos, así como los desafíos específicos que enfrentan.


Esto proporciona al equipo rojo una visión más profunda de los sistemas y activos que deben atacar, lo que a su vez les ayuda a desarrollar técnicas de ataque más realistas y efectivas.


La colaboración constante y el intercambio de experiencias durante el Purple Teaming también permiten mejorar los playbooks, que son guías y procedimientos predefinidos utilizados para responder a incidentes de seguridad.


Al basarse en los conocimientos adquiridos durante las pruebas, los playbooks pueden actualizarse y mejorarse para reflejar de manera más precisa los escenarios de ataque reales y optimizar las respuestas a incidentes.


La mejora de habilidades y conocimientos a través de la colaboración en el Purple Teaming ayuda a fortalecer los playbooks y aumentar la capacidad de respuesta de una organización frente a los ataques reales.


Esto contribuye a una mejor preparación y mitigación de amenazas, proporcionando una mayor seguridad en el entorno de ciberseguridad.


Es comprensible que exista una demanda creciente en el mercado de ciberseguridad para los servicios de Purple Teaming, especialmente por parte de las empresas que ya tienen un alto nivel de madurez en términos de ciberseguridad y buscan evaluaciones más completas y mejoras en su capacidad de respuesta a los ciberataques.


Durante Purple Teaming, el equipo atacante puede imitar las acciones de un grupo real que se especializa en ataques a una industria específica. Gracias a esto, la empresa puede probar su resistencia ante amenazas reales que le son relevantes, enfocándose en identificar y protegerse contra las técnicas, tácticas y herramientas utilizadas por los grupos de hackers existentes.


La colaboración también te permite optimizar los recursos de los equipos durante el proyecto. Esto le permite reducir el tiempo y el costo del cliente para mejorar el nivel de seguridad de la información.


Esto es lo que provoca el creciente interés en Purple Teaming: hoy en día es el enfoque más efectivo para mejorar la eficiencia de monitorear y contrarrestar los ataques cibernéticos.


Permite a las empresas identificar y corregir más rápidamente las debilidades en los controles de seguridad de la información, así como mejorar las habilidades y el conocimiento de sus equipos de ciberdefensa.




Fernando Corvalan – Subsecretario de Infraestructuras Tecnológicas y Comunicaciones en Gobierno de la Provincia de Santa Fe

Nota original publicada en: https://itconnect.lat/portal/purple-teaming-001/


Ransomware y Phishing: Las amenazas más comunes en Latinoamerica
Ransomware, phishing y ataques basados en inteligencia artificial son las principales modalidades que han tomado la delantera en Latinoamerica