Red Team 101: Diferencia entre Pentest y Operaciones Adversariales Reales

Hay cliente que pide red team y espera un informe de pentest con 47 CVEs y captura del Nessus. Otro pide pentest y espera que esquives el EDR, hagas movimiento lateral en el AD y exfiltres la base de RR.HH. sin ser detectado en 30 dias. Ambos estan equivocados, y la culpa es en parte nuestra, de la industria, que mezcla los terminos hasta convertirlos en marketing. Antes de cobrar 80k por engagement, necesitas saber con precision que servicio estas vendiendo, porque la diferencia cambia contrato, ROE, equipo, herramental y, sobre todo, lo que entregas al final.

El pentest es un ejercicio de cobertura: dado un alcance finito (10 IPs, 3 aplicaciones web, una API), enumeras vulnerabilidades, validas explotacion cuando es posible y produces un informe con severidades CVSS, evidencias y recomendaciones. El exito se mide en hallazgos validos por hora, baja tasa de falsos positivos y claridad de remediacion. Es similar al trabajo descrito en Pentest Web desde Cero: Montando un Lab Seguro con DVWA, Juice Shop y Burp Suite y Pentest de APIs REST y GraphQL: Checklist Tecnico para Bug Bounty Legal: metodico, repetible, con checklist tipo OWASP WSTG o PTES. No necesitas ser invisible; necesitas ser completo. Un SQLi como el de SQL Injection en la Practica: Explotar, Detectar y Mitigar en Lab Controlado vale tanto como un XSS almacenado si ambos quedan explotados y documentados.

El red team opera en el eje opuesto: objetivos, no cobertura. El cliente define una joya de la corona (acceso al cofre de firma de codigo, exfiltracion de hoja de M&A, domain admin en el AD financiero) y tienes entre 4 y 12 semanas para llegar emulando a un adversario especifico, normalmente un set de TTPs de MITRE ATT&CK mapeado desde threat intel. El alcance de superficie es amplio (a menudo toda la empresa), pero el de objetivo es estrecho. No reportas 50 vulnerabilidades; reportas 3 caminos de ataque end-to-end. Tecnicas como las de Adversary Emulation con Caldera y MITRE ATT&CK en Laboratorio Corporativo, Movimiento Lateral en Lab: SMB, WMI y WinRM con Foco en Deteccion y Pentest de Active Directory: Kerberoasting Paso a Paso en Lab GOAD entran en juego, y cada accion se piensa contra deteccion.

El ROE (Rules of Engagement) es donde los proyectos mueren. En pentest, suele caber en dos paginas: ventanas de prueba, IPs autorizadas, contactos de emergencia, prohibicion de DoS. En red team, el ROE se vuelve un documento de 15 paginas con: lista de trusted agents (3 a 5 personas que saben del ejercicio), procedimientos de stand-down si el blue team inicia respuesta a incidente real, reglas de phishing (a quien enviar, a quien no, como tratar credenciales) como en Phishing en Red Team Autorizado: Plantillas, GoPhish y Limites Eticos, limites de C2 (sin implantes en estaciones de C-level sin autorizacion escrita) y clausulas sobre datos personales. Sin eso, te conviertes en el proximo titular de Krebs por razones equivocadas.

La disciplina etica importa mas que la tecnica, y no es frase de charla. Significa cosas concretas: no pruebas AMSI bypass en produccion sin haberlo practicado en laboratorio como en Bypass de AMSI y ETW para Investigacion Defensiva: Lo que los Blue Teams Deben Saber; no levantas infra de C2 reutilizada como en Construyendo Infra de C2 con Sliver en Lab Aislado para Estudio Defensivo sin rotacion; no usas initial access via Initial Access Simulado: Macros, LNK e ISO en un Lab Windows 11 Aislado contra becarios para inflar metrica; destruyes las credenciales recolectadas al final del ejercicio y documentas la destruccion. La OPSEC operacional, como la de OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal, te protege a ti y al cliente, porque una fuga de tus artefactos se convierte en intrusion real.

Los equipos tambien son distintos. El pentest funciona bien con 1-2 operadores generalistas y quiza un especialista puntual (mobile, AD, cloud). El red team requiere roles: un operador de C2, otro de phishing/initial access, otro de AD/lateral, uno de reporting continuo y, idealmente, un threat intel lead que arme el perfil del adversario emulado. Si vendes red team con la misma estructura del pentest, vendes pentest lento. Peor: cobras red team y entregas una simulacion mediocre que no pone a prueba al SOC ni produce resultados utiles de purple team, como los de Purple Team en la Practica: Construyendo Ciclo de Feedback Red vs Blue.

Takeaway practico: antes de aceptar cualquier engagement, hazle tres preguntas al cliente. Uno, cual es el objetivo de negocio (compliance, validar SOC, probar respuesta, encontrar huecos)? Dos, cual es el apetito por deteccion (se prueba el camino o el equipo)? Tres, quienes son los trusted agents y quien NO puede saber? Si las respuestas apuntan a compliance y cobertura, vende pentest y cumplelo con excelencia. Si apuntan a validar deteccion y respuesta contra un adversario realista, vende red team con un ROE robusto. Mezclar ambos bajo el mismo SOW es como cobrar cirugia y entregar masaje: alguien sale lastimado, normalmente tu reputacion.