Tu equipo morado no es morado: solo son rojo y azul en la misma habitación

Por:
En:
En: Noticias
Etiquetado: , , , , , , ,
Con: 0 comentarios

Defender una red a las 2 am se parece mucho a esto: un analista copia y pega un hash de un PDF en una consulta SIEM. Se está reescribiendo a mano un guión del equipo rojo para que el equipo azul pueda usarlo. Un parche esperando una ventana de aprobación de cambios que es más larga que la propia ventana de explotación.

Nadie en esa cadena es incompetente.. Cada ser humano está haciendo su trabajo correctamente. El problema es el sistema, sus flujos de trabajo y sus confusas transferencias.

Por el contrario, el reloj del atacante casi ha desaparecido.

En 2024, el tiempo medio desde la publicación de un CVE hasta que un exploit funcionaba era de 56 días. Para 2025, se había reducido a 23 días. En lo que va de 2026, dura aproximadamente 10 horas en 3532 pares de exploits CVE de CISA KEV, VulnCheck KEV y ExploitDB.

Figura 1. La vulnerabilidad actual a la explotación de Windows es ahora de 10 horas

La pequeña buena noticia es que el reloj del defensor se ha acelerado para correr en horas.. La realmente mala noticia es que el reloj del atacante se ha adelantado y ahora funciona en segundos. Ni siquiera está cerca de ser una pelea justa.

Durante una década, la industria de la seguridad ha tenido un nombre para la práctica que se supone debe cerrar esta brecha: equipo morado. Es la respuesta correcta. Simplemente no ha sido práctico, hasta ahora.

¿Qué es realmente el equipo morado?

equipo morado es simple en concepto.

Red encuentra los caminos que tomaría un atacante. El azul valida si las detecciones de incendios y la prevención se mantienen. Ellos iteran. La salida del rojo se convierte en la entrada del azul. La salida del azul se convierte en la siguiente entrada del rojo. El bucle refuerza la postura de su organización continuamente en lugar de una vez por trimestre.

Esa es la idea y, nuevamente, es sólida. Lamentablemente, todo se desmorona en la ejecución.

Tres razones por las que el equipo morado tradicional no se ha puesto en práctica

Razón 1: El equipo morado humano crea demasiada fricción.

Casi nadie ejecuta el equipo morado como un bucle real. Los equipos no hablan con suficiente frecuencia y, cuando lo hacen, la gente se ve arrastrada a largas reuniones, informes detallados, largas autopsias y emergencias familiares. El cuello de botella casi siempre es humano, en el sentido más común.

Mire adónde van realmente las horas de los defensores.

  • No dentro de la EDR: se disparó.
  • No dentro del SIEM: estaba correlacionado.
  • No dentro del escáner: tenía el CVE.

El tiempo de respuesta muere en tránsito. El mensaje de Slack no leído. El hash copiado y pegado. El PDF se envió por correo electrónico para su revisión. El boleto esperando atención o aprobación. El guión del equipo rojo se está reconstruyendo a mano para el equipo azul. Esta es la entrega de espaguetis. Una vez que vea las ineficiencias y los puntos de falla, no podrá dejar de verlos.

Razón 2: Orquestar equipos y herramientas es el verdadero cuello de botella

El equipo de red posee firewalls. El SOC consume alertas. Ejercicios de carreras rojas. El azul genera detecciones. VM persigue CVE. Las operaciones de TI aplican parches.

Cada grupo opera una o más herramientas; cada herramienta emite un artefacto (un hallazgo, una alerta, un informe, un ticket) que se recoge, reinterpreta y entrega. Lo que estos equipos producen colectivamente debe ser un servicio: una postura de seguridad continuamente validada. En realidad, suele ser un desastre amañado por un jurado, pegado por humanos sobrecargados que escriben con los ojos llorosos en Jira a medianoche.

Así que el equipo morado sigue siendo en gran medida una aspiración. Una idea genial en las plataformas de proveedores. Quizás un ejercicio trimestral. Casi nunca operativo. Ciertamente no es lo suficientemente operativo.

Razón 3: los equipos morados tradicionales no pueden seguir el ritmo de los adversarios impulsados ​​por IA

Esto es lo que ha cambiado. Los atacantes obtuvieron un LLM. Los defensores todavía están completando un ticket de Jira.

Para la mayoría de las organizaciones, el proceso de aprobación de cambios por sí solo es ahora más largo que la ventana de explotación.

Un atacante asistido por IA puede comprometer un sistema en 73 segundos. Un defensor, que trabaja a través de la cadena de transferencia estándar entre SOC, los equipos rojo y azul y TI, normalmente tarda al menos 24 horas en implementar una solución.

Figura 2. Traspaso de espaguetis entre equipos

Un ejercicio trimestral del equipo morado, o incluso mensual, ya no es un bucle, es una casilla que hay que marcar, una instantánea de una batalla que ya ocurrió y, por lo general, un ejercicio inútil.

Ingrese al equipo morado autónomo

La misma tecnología que comprime el reloj del atacante puede comprimir el del defensor.

La buena noticia es que el equipo morado autónomo, por su propia naturaleza, es exactamente el tipo de flujo de trabajo en el que la IA es buena: un circuito estrecho y bien definido entre dos funciones especializadas, donde el cuello de botella siempre ha sido la transferencia humana y de conocimiento en lugar del trabajo en sí.

Cuando los agentes autónomos ejecutan las transferencias, el ciclo finalmente se cierra a la velocidad de la máquina.

  • Los hallazgos de Red se convierten automáticamente en las pruebas de Blue.
  • Los huecos del azul se convierten en el próximo ejercicio del rojo.
  • Sin pausas para el café, sin niños que regresan de la escuela, sin interrupciones durante las vacaciones.

El sistema que la gente ha estado describiendo durante diez años ahora finalmente puede funcionar como una metodología continua, no como un evento del calendario.

Esto no es «IA para seguridad» en el sentido que la mayoría de los proveedores han presentado durante el último año: generar una regla YARA, resumir una alerta, redactar un ticket. Esas son automatizaciones de tareas. Útil y cada vez más útil. Pero la verdadera autonomía es otra cosa.: un agente que ejecuta todo el bucle de un extremo a otro, con cada paso auditable para que pueda anularlo, resintonizarlo o revertirlo.

Y es un dial, no un acantilado. El rastreo es manual. La caminata está programada con asistencia de IA. La ejecución es de un extremo a otro con revisión humana solo cuando es necesario.

Cómo se ve el equipo morado autónomo en la práctica: BAS, Pentest automatizado y movilización impulsada por IA

Para ser efectivo, el equipo morado autónomo requiere tres componentes que funcionen como un solo sistema en lugar de herramientas separadas:

Pruebas de penetración automatizadas Esta es la pregunta de Red, que se responde continuamente: ¿puede un atacante alcanzar las joyas de la corona en su entorno, dadas las exposiciones y los controles actuales?

Simulación de ataques e infracciones (BAS) es la respuesta de azul: ¿lo bloqueó el firewall, lo detectó el EDR, se activó la regla SIEM, se desarrolló la respuesta de la manera que el runbook dice que debería?

Figura 3. BAS y Pentesting automatizado le ofrecen una visión completa

Movilización impulsada por IA es la parte que solía ser un humano escribiendo en Jira, ahora dirigida por una cadena de agentes especializados. Llega una alerta CISA. Un agente CTI lo enriquece frente a su entorno. Un agente de referencia decide que la amenaza es relevante y extrae la postura actual de los datos de BAS, pentest y exposición. Los agentes rojo y azul ejecutan la simulación y la validación en paralelo. Un agente movilizador implementa automáticamente soluciones de bajo riesgo, abre tickets para los moderados y marca el resto para revisión humana. Un agente reportero escribe una visión ejecutiva para el liderazgo y una visión técnica para el SOC.

No hay analistas en la cadena. Cada paso sigue siendo visible en la consola del operador. No hay caja negra, simplemente no hay humanos en el asiento que escribe en Jira.

El resultado no son 50.000 CVE clasificados por CVSS. Es una cola de acción continua en rojo y azul: qué es realmente explotable hoy, en comparación con sus controles reales, y qué hacer al respecto antes de que se cierre la ventana de explotación.

Eso es equipo morado, no sólo automatización. Es el bucle con el que la industria ha estado soñando y que finalmente funciona al ritmo que exigen ahora las amenazas impulsadas por la IA.

Véalo funcionando dentro de una empresa real

Un bucle continuo es la respuesta correcta. Pero «continuo» todavía implica un ritmo humano. Cuando los atacantes operan a la velocidad de una máquina, la brecha que importa no es entre ver y detectar; está entre detectar y demostrar lo suficientemente rápido como para que un adversario impulsado por IA no se entere primero.

Aquí es donde la validación pasa de continua a autónoma: los agentes de IA leen la alerta, determinan el alcance de la prueba, ejecutan la simulación, impulsan la solución y escriben el informe, mientras que el SOC se centra en el panorama general e, idealmente, recupera un poco de sueño muy necesario.

Analizaremos exactamente cómo se ve esto (la arquitectura, los flujos de trabajo de agencia, la realidad operativa de ejecutar esto dentro de una empresa real) al mismo tiempo. Cumbre de Validación Autónoma los días 12 y 14 de mayoorganizado por Frost & Sullivan y con la participación de profesionales de Kraft Heinz, Hacker Valley y Glow Financial Services, junto con el CTO de Picus, Volkan Erturk.

Véalo en acción en la cumbre →

Nota: Este artículo fue escrito por Sıla Özeren HacıoğluIngeniero de Investigación de Seguridad en Picus Security.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *