🛡️ Guía independiente de formación en ciberseguridad · Certificaciones, itinerarios y cursos
InicioGuías

Red Team, Blue Team y Purple Team: guía completa (2026)

19 de junio de 2026 Guías
Red Team, Blue Team y Purple Team: guía completa (2026)

En ciberseguridad, la mejor defensa no consiste en esperar ataques: consiste en simularlos antes de que lleguen los actores reales. Ahí radica la lógica de dividir los equipos de seguridad en dos bandos con misiones opuestas —Red Team y Blue Team— y la razón por la que la industria ha adoptado un tercer modelo colaborativo, el Purple Team, que fuerza a ambos lados a hablar el mismo idioma. Esta guía explica qué hace cada equipo, cómo trabajan juntos, qué herramientas y frameworks usan, y cómo construir una carrera en cualquiera de los tres caminos.

Por qué existen los equipos en ciberseguridad

La seguridad informática lleva décadas luchando contra el mismo sesgo: quien construye las defensas tiende a ver la infraestructura con los ojos del defensor, no del atacante. Los controles se diseñan pensando en lo que debería fallar, no en lo que puede fallar. El resultado es una brecha entre la percepción de seguridad y la realidad que solo se revela cuando llega un incidente real.

La metáfora militar de equipos «rojo» y «azul» viene de los ejercicios de simulación del ejército estadounidense, donde un bando atacaba y otro defendía en escenarios de guerra controlados. En ciberseguridad, el concepto se institucionalizó a partir de los años 90, primero en el sector de defensa y banca, y con el tiempo se extendió a cualquier organización que tuviera algo que proteger. El objetivo no ha cambiado: reproducir lo que haría un adversario real para descubrir los puntos débiles antes de que lo haga alguien con intenciones maliciosas.

Red Team: qué es, qué hace y cómo se diferencia de un pentest

El Red Team es el equipo ofensivo. Su misión es simular el comportamiento de un adversario real —un grupo de cibercrimen, un actor de estado, un competidor desleal— para evaluar hasta dónde puede llegar sin ser detectado ni detenido. Es el atacante contratado.

Objetivos del Red Team

A diferencia de una auditoría de cumplimiento, el Red Team no busca un listado exhaustivo de vulnerabilidades: busca demostrar si un objetivo específico es alcanzable. Un ejercicio típico parte de un objetivo acordado con el cliente —comprometer el correo del CEO, acceder a la red de producción, exfiltrar datos de clientes— y el equipo rojo tiene semanas o meses para conseguirlo por cualquier vía disponible: técnica, física o de ingeniería social.

Los tres pilares de un ejercicio Red Team son la confidencialidad (el Blue Team no sabe cuándo va a ocurrir ni necesariamente que ya está en marcha), la realismo (se usan las mismas técnicas, tácticas y procedimientos que usaría un atacante real) y la orientación a objetivos (no se mide el número de CVEs encontrados, sino si se alcanzó la crown jewel).

TTPs: la lengua del adversario

Los equipos rojos trabajan con el concepto de TTPs (Tactics, Techniques and Procedures), el mismo lenguaje que usa el framework MITRE ATT&CK para clasificar el comportamiento de los atacantes reales. Una táctica es el «para qué» (p. ej., movimiento lateral), una técnica es el «cómo» (p. ej., Pass-the-Hash con credenciales robadas) y un procedimiento es la implementación concreta que usa un actor o un grupo.

Este lenguaje es relevante porque permite mapear los ataques simulados contra inteligencia de amenazas real. Si el cliente quiere evaluar si sus controles detectarían a un grupo concreto (por ejemplo, un actor APT que usa técnicas de living-off-the-land), el Red Team replica exactamente esas TTPs.

Red Team vs. pentest: la diferencia que importa

La confusión entre ambos términos es frecuente y tiene consecuencias prácticas. Estas son las diferencias clave:

  • Alcance: un pentest tiene un alcance definido y acotado (esta aplicación, estas IPs, este segmento de red). Un ejercicio Red Team tiene como límite el objetivo de negocio, no los sistemas.
  • Objetivo: el pentest busca encontrar vulnerabilidades. El Red Team busca demostrar si un objetivo de alto valor es comprometible, aunque eso implique encadenar vulnerabilidades menores con ingeniería social y acceso físico.
  • Duración: un pentest dura días o semanas. Un Red Team engagement dura semanas o meses.
  • Conocimiento del Blue Team: en un pentest, el equipo de seguridad suele saber que la prueba está en curso. En un ejercicio Red Team puro, el equipo defensor no lo sabe —de lo contrario, no es una simulación realista.
  • Métricas: el pentest produce un informe de hallazgos con CVSS. El Red Team produce un informe de campaña: cronología, técnicas usadas, qué detectó el defensor y qué no.

Herramientas del Red Team

El arsenal del equipo rojo moderno gira en torno a tres categorías: infraestructura de mando y control (C2), reconocimiento de Active Directory y explotación post-acceso.

  • C2 (Command and Control): el servidor C2 es el centro nervioso de la operación ofensiva. Los más utilizados en ejercicios profesionales son Cobalt Strike (el estándar industrial, de HelpSystems), cuyo kit de herramientas —Malleable C2, Beacon— permite evasión avanzada de EDR; y Sliver (BishopFox, open-source), que ha ganado terreno como alternativa libre y está bien mantenido. Brute Ratel C4 es otra opción comercial usada en simulaciones avanzadas.
  • Reconocimiento de Active Directory: BloodHound (con el ingestor SharpHound) es la herramienta de referencia para mapear las relaciones de confianza en un entorno Active Directory e identificar rutas de ataque hasta Domain Admin. Impacket (suite de scripts Python) facilita ataques sobre protocolos de red Windows (SMB, Kerberos, LDAP). Mimikatz es el estándar para la extracción de credenciales en memoria.
  • Evasión y post-explotación: herramientas como Rubeus para ataques Kerberos (AS-REP Roasting, Kerberoasting), Chisel o ligolo-ng para tunneling, y frameworks de evasión de EDR como Havoc o scripts de AMSI bypass.
  • Reconocimiento externo: Nmap, Masscan, Shodan, theHarvester, Amass para la fase de OSINT e inventario de superficie de ataque.

Si te interesa la vertiente ofensiva, el mapa de certificaciones ofensivas de este sitio y la guía del mapa de certificaciones te ayudarán a orientarte.

Blue Team: detección, respuesta y hardening

El Blue Team es el equipo defensivo. Su misión es proteger los activos de la organización: detectar intrusiones, responder a incidentes, endurecer la infraestructura y, en las organizaciones más maduras, anticiparse a los atacantes mediante threat hunting.

El SOC: el núcleo del Blue Team

La mayoría de las organizaciones grandes articulan su Blue Team en torno a un Security Operations Center (SOC), un equipo —interno, externalizado o mixto— que monitoriza la infraestructura de forma continua. El SOC se organiza en niveles (tiers):

  • Tier 1 (Analyst): triaje inicial de alertas, correlación básica, escalado. Es la primera línea, la que recibe el volumen mayor de eventos.
  • Tier 2 (Incident Responder): investigación en profundidad de los incidentes escalados desde Tier 1. Analiza artefactos, traza la cadena de ataque, contiene el incidente.
  • Tier 3 (Threat Hunter / Senior Analyst): búsqueda proactiva de amenazas que no han disparado alertas, desarrollo de nueva lógica de detección, análisis forense avanzado.

Si quieres entender cómo funciona un SOC por dentro, nuestra guía sobre cómo trabajar en un SOC lo explica con detalle.

Detección: de los logs a las alertas

El pilar técnico del Blue Team moderno es el SIEM (Security Information and Event Management): una plataforma que agrega, normaliza y correlaciona logs de fuentes heterogéneas (firewalls, EDR, proxies, Active Directory, servidores) para generar alertas cuando se detectan patrones anómalos. Los SIEMs más extendidos en el mercado son Microsoft Sentinel (nativo en Azure, modelo serverless de ingestión por GB), Splunk (on-premise y cloud, con el lenguaje SPL), Elastic Security (open-source con stack ELK), IBM QRadar y Chronicle (Google).

La calidad de un SIEM depende de la calidad de las reglas de detección. El estándar open-source para escribir reglas independientes del SIEM es Sigma, un formato YAML que puede compilarse para Splunk, Elastic, QRadar o Sentinel. El repositorio oficial de reglas Sigma (github.com/SigmaHQ/sigma) es la referencia del sector.

Junto al SIEM, el EDR (Endpoint Detection and Response) es la otra capa crítica: un agente en cada endpoint que registra comportamiento a nivel de proceso, red y memoria y permite respuesta en tiempo real (aislar un host, matar un proceso, recoger artefactos forenses). Los líderes del mercado son CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne y Carbon Black.

Respuesta a incidentes

La respuesta a incidentes es el proceso estructurado que sigue el Blue Team cuando detecta un compromiso. El marco de referencia es el NIST SP 800-61 (Computer Security Incident Handling Guide), que divide el proceso en cuatro fases:

  1. Preparación: playbooks documentados, acceso a herramientas forenses, contactos de escalado, plataformas de ticketing (IRP).
  2. Detección y análisis: identificar si el evento es un verdadero positivo, determinar el alcance, clasificar la severidad.
  3. Contención, erradicación y recuperación: aislar sistemas comprometidos, eliminar el malware o acceso persistente, restaurar operaciones.
  4. Actividad post-incidente: lecciones aprendidas, mejora de controles, actualización de playbooks.

Threat hunting: ir más allá de las alertas

El threat hunting es la búsqueda proactiva de amenazas que no han generado alertas en el SIEM. Parte de la hipótesis de que un atacante avanzado puede estar en la red sin haber disparado ninguna regla, y un analista experimentado sale a buscarlo basándose en inteligencia de amenazas y anomalías en el comportamiento.

Una hunt típica sigue el ciclo: hipótesis (un actor que usa este TTP podría dejar este artefacto) → búsqueda (consultas en SIEM/EDR) → análisis (¿el artefacto encontrado es legítimo?) → mejora de detección (si se confirma actividad sospechosa, escribir una regla Sigma para detectarla automáticamente).

Hardening: reducir la superficie de ataque

El hardening es el conjunto de configuraciones que reducen la superficie de ataque antes de que llegue el adversario. Incluye la gestión del parche, la configuración segura de sistemas (CIS Benchmarks son el estándar), la segmentación de red, el principio de mínimo privilegio en identidades y el control de aplicaciones (application whitelisting). En Active Directory, el hardening es especialmente crítico: deshabilitar LLMNR/NBT-NS, forzar SMB signing, proteger las cuentas privilegiadas con tiering de administración y restringir la delegación no restringida de Kerberos son medidas que complican enormemente la vida a un Red Team.

Las certificaciones de este camino —desde la CompTIA CySA+ hasta la GCIH de GIAC— están recogidas en nuestra guía de mejores certificaciones de seguridad defensiva.

Purple Team: cuando el rojo y el azul trabajan juntos

El modelo tradicional Red/Blue tiene un defecto estructural: el Red Team entrega un informe al final del engagement, el Blue Team lo lee semanas después y el conocimiento se pierde en la fricción entre los dos grupos. Los hallazgos del Red Team no se convierten automáticamente en mejoras de detección del Blue Team. El Purple Team nació para cerrar esa brecha.

Qué es el Purple Team

El Purple Team no es un tercer equipo permanente: es una función colaborativa, un modo de trabajo en el que el Red Team y el Blue Team operan en la misma sala (física o virtual), con visibilidad mutua, ejecutando técnicas ofensivas en tiempo real mientras el equipo defensor comprueba si sus controles las detectan. El resultado no es un informe para archivar: es una mejora inmediata de las capacidades de detección.

Algunos modelos organizativos sí tienen un «equipo púrpura» permanente, formado por profesionales con conocimientos tanto ofensivos como defensivos, cuya misión es facilitar la colaboración continua. Pero en la mayoría de las organizaciones, purple es una cadencia de ejercicios, no una estructura fija.

Cómo es un ejercicio Purple Team paso a paso

Un ejercicio Purple Team bien ejecutado sigue una secuencia clara:

  1. Selección de escenario: se elige un TTP del catálogo MITRE ATT&CK (p. ej., T1003.001 — volcado de credenciales LSASS con Mimikatz). La elección suele basarse en inteligencia de amenazas relevante para el sector o en gaps identificados en ejercicios anteriores.
  2. Briefing conjunto: Red y Blue se reúnen. El Red Team explica qué va a hacer y cómo. El Blue Team revisa qué reglas de detección tiene activas para ese TTP.
  3. Ejecución controlada: el Red Team ejecuta el ataque en un entorno acordado (puede ser producción con permisos acotados, o un entorno de staging). El Blue Team monitoriza sus herramientas en tiempo real.
  4. Verificación de detección: ¿el SIEM generó una alerta? ¿El EDR bloqueó la acción? ¿El log necesario estaba habilitado? Si la detección falló, se identifica exactamente por qué.
  5. Mejora inmediata: si hay un gap de detección, el Blue Team escribe o ajusta la regla Sigma, activa la telemetría necesaria o modifica la configuración del EDR. Se repite la técnica para verificar que ahora se detecta.
  6. Documentación: cada TTP probado queda documentado con el resultado (detectado / no detectado / bloqueado), la regla creada y la fecha. Esto alimenta el mapa de cobertura contra ATT&CK de la organización.

La diferencia con un Red Team engagement clásico es que aquí no hay sorpresa: la colaboración es el punto. Lo que se gana es velocidad de mejora y transferencia de conocimiento bilateral.

Frameworks clave: el lenguaje común de los tres equipos

MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) es el framework de referencia para clasificar el comportamiento de los atacantes en el mundo real. Publicado y mantenido por la organización sin ánimo de lucro MITRE Corporation, es gratuito y de uso abierto.

La matriz se organiza en tácticas (columnas), que representan el objetivo del atacante en cada fase —desde el Reconocimiento inicial hasta el Impacto final— y técnicas (filas dentro de cada táctica), que describen cómo se consigue ese objetivo. Las técnicas incluyen sub-técnicas para mayor granularidad, y cada entrada referencia grupos de amenazas reales (APTs, grupos de cibercrimen) que usan esa técnica, herramientas asociadas y procedimientos de mitigación y detección.

ATT&CK tiene matrices separadas para Enterprise (Windows, macOS, Linux, cloud, SaaS, red, contenedores), Mobile e ICS (sistemas de control industrial). La versión Enterprise es la más utilizada en ejercicios red/blue/purple.

Su valor práctico es triple: para el Red Team, sirve de catálogo de técnicas y garantiza que los ejercicios son relevantes frente a adversarios reales; para el Blue Team, permite mapear qué técnicas tienen cobertura de detección y cuáles no (usando herramientas como ATT&CK Navigator); para el Purple Team, es el guión de los ejercicios.

Cyber Kill Chain de Lockheed Martin

El modelo Cyber Kill Chain fue desarrollado por Lockheed Martin en 2011 y publicado en el paper «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains». Describe los ataques cibernéticos como una secuencia lineal de fases que el defensor puede interrumpir en cualquier punto:

  1. Reconocimiento: el atacante recopila información sobre el objetivo (OSINT, escaneo de puertos, enumeración de infraestructura).
  2. Weaponization: el atacante crea el arma —un exploit empaquetado con un payload malicioso, un documento de phishing con macro—.
  3. Delivery: entrega del arma al objetivo (correo de phishing, USB, watering hole).
  4. Exploitation: la vulnerabilidad se activa y el código malicioso se ejecuta en el sistema de la víctima.
  5. Installation: instalación de un backdoor o acceso persistente.
  6. Command and Control (C2): el malware se conecta a la infraestructura del atacante para recibir instrucciones.
  7. Actions on Objectives: el atacante alcanza su objetivo final (exfiltración de datos, movimiento lateral, cifrado de ransomware).

La contribución clave del Kill Chain es el concepto de que interrumpir al atacante en cualquier fase detiene el ataque completo, y que cuanto antes se interrumpe, menor es el daño. Esto reorienta la mentalidad defensiva: no basta con detectar en la fase 7; hay que tener controles en cada fase.

La diferencia con ATT&CK es el nivel de abstracción: el Kill Chain es un modelo de alto nivel (7 fases), ATT&CK es un catálogo granular de técnicas concretas. En la práctica, muchas organizaciones usan ambos de forma complementaria.

NIST Cybersecurity Framework

El NIST Cybersecurity Framework (CSF), desarrollado por el National Institute of Standards and Technology de Estados Unidos, es un marco de gestión del riesgo orientado a organizaciones, no un catálogo de técnicas. Su estructura de cinco funciones —Identify, Protect, Detect, Respond, Recover— proporciona un lenguaje común para que los equipos técnicos hablen con la dirección sobre madurez de seguridad.

La versión 2.0 (publicada en febrero de 2024) añade una sexta función, Govern, que refleja la importancia de la gobernanza y el riesgo de terceros. El NIST CSF es la base sobre la que muchas organizaciones construyen su programa de seguridad y miden su madurez frente a los resultados de los ejercicios red/blue/purple.

Un ejercicio Red Team real de principio a fin

Para hacer concreto lo anterior, describimos el flujo típico de un engagement Red Team en una organización de tamaño medio, desde el primer contacto hasta el informe final.

Fase 0: definición de alcance y reglas de compromiso

El ejercicio comienza con una reunión de kickoff en la que se definen el objetivo de negocio (la «crown jewel» que el Red Team intentará alcanzar), el alcance técnico (qué sistemas están fuera de límites), las reglas de compromiso (horario permitido, si se puede usar ingeniería social, si el Blue Team está al corriente) y los contactos de emergencia para el caso de que el ejercicio detecte un incidente real. Todo queda documentado en un documento de Statement of Work y autorización firmada.

Fase 1: reconocimiento (OSINT)

El Red Team recopila información pública sobre el objetivo: dominios y subdominios, rangos de IP, tecnologías visibles, correos electrónicos de empleados (LinkedIn, Hunter.io), credenciales filtradas en brechas anteriores (Have I Been Pwned, leak databases), configuraciones de DNS, certificados SSL expuestos en Shodan. Esta fase se hace con total sigilo, sin generar tráfico hacia los sistemas del cliente.

Fase 2: acceso inicial

El acceso inicial es a menudo el paso más creativo. Los vectores más frecuentes en ejercicios reales son el phishing dirigido (spear phishing) con documentos o enlaces trampa, la explotación de servicios expuestos a internet con vulnerabilidades conocidas, el uso de credenciales filtradas para acceder a VPN o portales web, o combinaciones de ingeniería social telefónica y phishing. Una vez conseguido el primer acceso, el operador establece un foothold: un beacon de C2 persistente que sobrevive a reinicios.

Fase 3: reconocimiento interno y movimiento lateral

Con acceso dentro de la red, el Red Team mapea el entorno: enumera hosts, servicios, Active Directory (usuarios, grupos, GPOs, relaciones de confianza), y busca rutas hacia el objetivo usando BloodHound. El movimiento lateral implica escalar privilegios en el host inicial (explotación local, abuso de servicios mal configurados) y pivotar a otros sistemas usando las credenciales o tickets Kerberos obtenidos.

Fase 4: persistencia y escalada hacia la crown jewel

El Red Team establece múltiples vías de persistencia (scheduled tasks, servicios, Golden Ticket de Kerberos si compromete el Domain Controller) para no depender de un único punto de acceso. Escala privilegios progresivamente hasta alcanzar el objetivo definido en el kickoff: acceso al controlador de dominio, exfiltración de datos sensibles, acceso al sistema de pagos.

Fase 5: informe y debriefing

El informe de un Red Team engagement tiene dos partes. La primera es un executive summary para la dirección: el objetivo se alcanzó o no, cuánto tiempo tardó el Red Team, qué postura de seguridad tiene la organización en términos de negocio. La segunda es el informe técnico: la cronología completa de la operación, cada técnica usada con su referencia ATT&CK, qué detectó el Blue Team y qué pasó desapercibido, y las recomendaciones priorizadas. El debriefing conjunto (Purple) es donde el mayor valor se transfiere al equipo defensor.

Roles y carreras en cada equipo

Carreras en Red Team

El Red Teamer necesita una base técnica sólida: comprensión profunda de redes TCP/IP, sistemas operativos Windows y Linux, Active Directory, desarrollo de exploits o al menos capacidad de adaptar los existentes, y programación en Python, PowerShell o C. Las empresas que contratan Red Teams internos suelen ser grandes corporaciones (banca, telco, defensa) o consultoras especializadas. El mercado también incluye proveedores de servicios de Red Team que ofrecen engagements a clientes.

Roles típicos en el camino ofensivo:

  • Penetration Tester (punto de entrada, más scopeado)
  • Red Team Operator / Red Team Member (ejecuta técnicas en engagements)
  • Red Team Lead / Senior Red Teamer (diseña la operación, gestiona el equipo)
  • Adversary Simulation Specialist (enfocado en replicar TTPs de APTs concretos)
  • Exploit Developer / Vulnerability Researcher (especialización técnica de alto nivel)

Carreras en Blue Team

El Blue Teamer necesita conocer los sistemas que defiende (Windows Event Logs, Active Directory, protocolos de red, arquitectura cloud), manejar las herramientas SIEM y EDR, y tener capacidad analítica para distinguir comportamiento legítimo de sospechoso. La entrada al mundo defensivo suele ser a través del SOC.

Roles típicos en el camino defensivo:

  • SOC Analyst Tier 1 / Tier 2 (triaje, investigación de incidentes)
  • Incident Responder (especialista en respuesta a incidentes)
  • Threat Hunter (búsqueda proactiva de amenazas)
  • Detection Engineer (escribe y optimiza reglas de detección)
  • DFIR Analyst (Digital Forensics and Incident Response: análisis forense)
  • Security Engineer / Architect (diseña y despliega controles de seguridad)

Nuestra guía cómo trabajar en un SOC explica en detalle los roles, las herramientas y cómo es el día a día en cada nivel.

Carreras en Purple Team

El rol de Purple Teamer combina conocimiento ofensivo y defensivo. Suele ser alguien con experiencia previa en Red o Blue Team que actúa como facilitador de la colaboración. Las organizaciones grandes pueden tener esta figura de forma permanente; en las más pequeñas, la función la ejerce un senior con perfil híbrido.

Certificaciones por camino

Certificaciones Red Team y ofensivas

El camino de certificaciones ofensivas tiene una ruta clara de mayor a menor madurez:

  • OSCP (Offensive Security Certified Professional, de OffSec): el estándar del sector para pentesting. Examen de 24 horas de hacking práctico en un laboratorio. Requerida o valorada en prácticamente todas las ofertas de pentesting. Detalle completo en nuestra reseña de la OSCP.
  • OSEP (Offensive Security Experienced Penetration Tester): continuación de OSCP, enfocada en técnicas de evasión avanzada y Red Team en entornos maduros. Parte del path PEN-300 de OffSec.
  • CRTO (Certified Red Team Operator, de Zero-Point Security): la certificación de referencia específica para Red Team con Cobalt Strike. Examen en laboratorio de 48 horas. Valorada especialmente para roles de Red Team operator.
  • CRTE / CRTP (Certified Red Team Expert / Professional, de AlteredSecurity): enfocadas en Active Directory attack paths. CRTP es el nivel de entrada, CRTE el avanzado.
  • OSED, OSMR, OSWE (especializaciones de OffSec en exploit development, malware research y web avanzado).

Consulta el ranking completo en nuestra guía de mejores certificaciones de seguridad ofensiva.

Certificaciones Blue Team y defensivas

  • CompTIA CySA+ (Cybersecurity Analyst): la puerta de entrada al Blue Team más reconocida. Cubre análisis de amenazas, respuesta a incidentes y gestión de vulnerabilidades. Nuestra reseña de la CySA+ detalla el contenido y el examen.
  • GCIH (GIAC Certified Incident Handler, de GIAC/SANS): el estándar del sector para respuesta a incidentes. Basada en el curso FOR508 de SANS. Cubre el ciclo completo de IR. Reseña en nuestra guía de la GCIH.
  • GCIA (GIAC Certified Intrusion Analyst): enfocada en análisis de tráfico de red e intrusiones. Basada en el curso SEC503 de SANS.
  • BTL1 (Blue Team Labs Level 1, de Security Blue Team): certificación práctica de entrada al Blue Team, con laboratorio. Bien valorada para el primer empleo en SOC.
  • SC-200 (Microsoft Security Operations Analyst): para entornos Microsoft / Azure Sentinel. Muy relevante si el cliente o empleador usa el stack de Microsoft.
  • GMON (GIAC Continuous Monitoring Certification): basada en el curso SEC511, enfocada en visibilidad de red y detección continua.

La guía completa está en nuestro artículo sobre mejores certificaciones de seguridad defensiva y en el mapa de certificaciones.

Certificaciones Purple Team y mixtas

El mercado de certificaciones específicas de Purple Team es aún incipiente, pero hay opciones sólidas:

  • PNPT (Practical Network Penetration Tester, de TCM Security): cubre pentesting práctico de red y Active Directory. Examen de 5 días con informe escrito. Bien valorada para perfiles junior.
  • CPTC (Certified Purple Team Consultant, de AttackIQ Academy): específica de Purple Team, enfocada en adversary simulation y medición de controles.
  • GDAT (GIAC Defending Advanced Threats): combina técnicas ofensivas y defensivas avanzadas.
  • Muchos Purple Teamers obtienen una certificación de cada lado: por ejemplo, OSCP + GCIH, o CRTO + CySA+.

Cómo decidir tu camino: ofensiva vs. defensa

La elección entre Red Team y Blue Team no es solo técnica: es de temperamento, de intereses y de mercado laboral.

Elige el camino ofensivo si…

  • Disfrutas resolviendo puzzles, buscando el fallo donde nadie lo busca.
  • Te atrae programar herramientas, entender cómo funcionan los exploits por dentro.
  • Tienes paciencia para campañas largas donde el avance es lento y no lineal.
  • No te importa la incertidumbre: cada target es un reto nuevo sin manual de instrucciones.

Elige el camino defensivo si…

  • Disfrutas monitorizando, analizando patrones, encontrando la aguja en el pajar de logs.
  • Te atrae el trabajo de equipo estructurado (el SOC es un ambiente muy colaborativo).
  • Prefieres roles con más estabilidad de horario (aunque el IR puede ser 24/7 en incidentes graves).
  • Te interesa el análisis forense, entender qué ocurrió y cómo.

Sobre el mercado laboral

Hay más posiciones abiertas en Blue Team que en Red Team. El motivo es estructural: cada organización mediana necesita un SOC o al menos un analista de seguridad; no todas tienen presupuesto para un Red Team interno. Los perfiles de Red Team son escasos y muy demandados, pero la puerta de entrada es más estrecha. Los perfiles de Purple Team son los más raros y también los mejor pagados en el mercado especializado.

Cómo formarse en Red Team, Blue Team y Purple Team

Formación ofensiva

El camino práctico recomendado para empezar en el lado ofensivo:

  1. Fundamentos: redes (TCP/IP, HTTP, DNS), sistemas operativos (Windows y Linux), conceptos básicos de programación (Python, Bash). La certificación CompTIA Security+ cubre los fundamentos de forma estructurada.
  2. Práctica en laboratorio: plataformas como TryHackMe (rutas guiadas, ideal para empezar), Hack The Box (más difícil, más parecido a entornos reales) y OffSec Proving Grounds (máquinas del estilo OSCP).
  3. Active Directory: TCM Security tiene cursos asequibles específicos de AD attack/defense. Es el conocimiento que más diferencia a un junior de un mid-level en Red Team.
  4. OSCP: cuando ya eres capaz de resolver máquinas de dificultad media en HTB de forma consistente, el camino natural es el PEN-200 de OffSec y el examen OSCP.

Formación defensiva

  1. Fundamentos: los mismos que en ofensiva, con más énfasis en Windows Event Logging, Sysmon, gestión de Active Directory y arquitectura de red.
  2. SOC y SIEM: TryHackMe tiene rutas de SOC Analyst; BlueTeamLabs.online ofrece laboratorios de análisis de incidentes. Elastic ofrece formación gratuita para su stack.
  3. CySA+ o BTL1: buenas certificaciones de entrada para el primer rol en SOC o IR.
  4. GCIH / GCIA: para el salto a roles más especializados, SANS es el proveedor más reconocido, aunque el coste es elevado (cursos 5.000-8.000 USD). Existen opciones de trabajo / estudio en SANS.

Nuestra guía completa sobre cómo empezar en ciberseguridad desde cero y el catálogo de cursos y certificaciones te ayudarán a trazar el recorrido.

Herramientas del Blue Team: referencia rápida

Además del SIEM y el EDR ya mencionados, el arsenal defensivo incluye:

  • Sysmon (System Monitor, de Microsoft/Sysinternals): servicio de Windows que registra en el Event Log actividad de procesos, conexiones de red, cambios en el registro y carga de drivers. Imprescindible para mejorar la visibilidad en endpoints Windows. Gratuito.
  • Zeek (anteriormente Bro): framework de análisis de tráfico de red que genera logs estructurados de conexiones, DNS, HTTP, SSL. Muy usado en threat hunting de red.
  • Suricata: IDS/IPS de red de código abierto con soporte de reglas. Complementa el SIEM con detección a nivel de red.
  • Velociraptor: plataforma open-source de endpoint visibility y respuesta a incidentes, diseñada para hunt a escala.
  • TheHive / Cortex: plataforma open-source de gestión de incidentes (IRP) con integración de playbooks automáticos.
  • MISP (Malware Information Sharing Platform): plataforma de intercambio de inteligencia de amenazas (IoCs, TTPs) entre organizaciones.
  • Volatility: framework de análisis forense de memoria RAM. Estándar en DFIR para analizar dumps de memoria.

FAQ: preguntas frecuentes

¿Cuánto gana un Red Teamer o un Blue Teamer en España?

Los salarios varían según experiencia, empresa y ubicación. Un analista SOC junior en España parte de 20.000-28.000 EUR brutos anuales. Un pentester con OSCP y 2-4 años de experiencia puede estar en 35.000-55.000 EUR. Un Red Team lead o un Threat Hunter senior en una gran empresa puede superar los 65.000-80.000 EUR. Los perfiles de Red Team sénior en consultoras internacionales o en el sector bancario y defensa son los mejor remunerados. Nuestra guía sobre mapa de certificaciones incluye contexto de mercado por perfil.

¿Necesito saber programar para trabajar en ciberseguridad?

Depende del rol. Para un SOC Analyst Tier 1, no es imprescindible aunque ayuda. Para un Red Teamer, el scripting en Python y PowerShell es esencial desde el principio. Para un Detection Engineer o un Threat Hunter, las consultas en el lenguaje del SIEM (SPL, KQL, Lucene) son el día a día. En general, saber automatizar tareas con scripting básico da una ventaja enorme en cualquier camino.

¿Por dónde empiezo si no sé nada de ciberseguridad?

El itinerario más eficiente para alguien que empieza desde cero: (1) fundamentos de redes y sistemas operativos, (2) CompTIA Security+ o equivalente para visión de conjunto, (3) práctica en TryHackMe (tiene rutas para principiantes tanto en ofensiva como en defensiva), (4) elegir lado y profundizar. Nuestra guía cómo empezar en ciberseguridad desde cero desarrolla cada paso.

¿El Purple Team reemplaza al Red Team y al Blue Team?

No. El Purple Team no reemplaza: complementa. Un ejercicio Purple bien ejecutado presupone que el Blue Team tiene infraestructura de detección funcionando y que el Red Team sabe ejecutar TTPs realistas. El Purple es el mecanismo que hace que el aprendizaje de cada simulación se convierta en mejoras de detección concretas, en lugar de perderse en un informe PDF.

¿MITRE ATT&CK cubre todos los tipos de ataque?

MITRE ATT&CK cubre comportamientos de adversarios reales documentados, no es un catálogo de vulnerabilidades (eso es CVE/NVD). No cubre ataques físicos, ingeniería social telefónica ni técnicas completamente nuevas que aún no han sido documentadas. Es un marco vivo que MITRE actualiza periódicamente incorporando nuevas técnicas a medida que se documentan en incidentes reales.

¿Es mejor hacer OSCP antes de trabajar o antes necesito experiencia?

La OSCP está diseñada para ser alcanzable con práctica autodidacta estructurada, sin necesitar experiencia laboral previa. El camino recomendado es: fundamentos sólidos → 3-6 meses de práctica intensa en TryHackMe / Hack The Box → PEN-200 (el curso que incluye la OSCP) → examen. Muchas personas consiguen la OSCP sin haber trabajado en seguridad. Nuestra reseña detallada de la OSCP cubre el proceso de preparación.

Reseñas relacionadas

Sigue tu camino

Cursos de ciberseguridad por especialización

Descubre los cursos que más se adaptan a tu perfil profesional.