En este artículo encontrarás:
Descubre el mejor antivirus para 2024
Accede a nuestro comparador gratuito y encuentra el antivirus que mejor se adapte a lo que necesitas y con mejor valoración de los expertos.
Ir al comparadorSi te dijera que el Gobierno va a pagar casi 350.000 euros para que hackeen una de sus instituciones más importantes, probablemente pensarías que estoy loco. Pero es exactamente lo que está pasando con Red.es, y te aseguro que después de entender el porqué, vas a cambiar completamente tu forma de ver la ciberseguridad.
Red.es acaba de lanzar algo que suena a película de espías: van a contratar hackers profesionales para que les ataquen durante cuatro años seguidos. Y no hablo de un simple escaneo de vulnerabilidades que cualquier antivirus empresarial podría detectar, sino de ataques sofisticados que simulan amenazas reales.
La realidad que me hizo entender todo
Durante años pensé que la ciberseguridad era como tener una buena cerradura en casa: la instalas y ya está. Pero trabajando en este sector he aprendido algo crucial: los ciberdelincuentes no descansan, y nosotros tampoco podemos hacerlo.
Red.es lo tiene claro. Esta entidad, que gestiona desde los dominios .es hasta fondos europeos millonarios, ha decidido someterse voluntariamente al escrutinio más duro posible. Y créeme, cuando entiendes la magnitud de lo que manejan, te das cuenta de que no tenían otra opción.
El experimento más ambicioso que he visto
Lo que me fascina de esta iniciativa es que han montado algo que parece sacado de una serie de Netflix, pero es completamente real:
Los equipos en acción:
- Blue Team: Los defensores de siempre, los que vigilan y protegen
- Red Team: Los atacantes contratados, que van a por todas
- White Team: Los jefes que deciden hasta dónde se puede llegar
- Purple Team: El equipo mixto que analiza qué falló y cómo solucionarlo
- Comité Técnico: Se reúnen cada semana para revisar cada incidente
Durante 48 meses van a ejecutar hasta 4 ejercicios de Red Team completos y 16 pruebas de hacking ético más breves. Y aquí viene lo interesante: cada ejercicio de Red Team dura mínimo cuatro meses. Cuatro meses de ataques sostenidos, como si fuera una amenaza real.
Por qué esto cambia las reglas del juego
Te voy a contar algo que me sorprendió: los criterios técnicos pesan un 70% frente al 30% económico en la adjudicación. Esto significa que buscan a los mejores, no a los más baratos. Y ya hay casi una decena de empresas compitiendo por este contrato.
Lo que realmente están probando:
- Capacidad de detección temprana - ¿Cuánto tardan en darse cuenta de que están siendo atacados?
- Respuesta ante incidentes - ¿Saben reaccionar cuando detectan algo sospechoso?
- Resistencia a ataques prolongados - ¿Aguantan meses de presión constante?
- Recuperación post-ataque - ¿Pueden volver a la normalidad sin perder datos críticos?
El detalle que me parece genial
Hay algo en este proyecto que demuestra lo serios que van: si la empresa contratada para atacarles sufre ella misma un ciberataque, tiene que comunicarlo inmediatamente. Y si hay riesgo de que esa amenaza se propague a Red.es, pueden cortarle todos los accesos al instante.
Es como contratar a un ladrón profesional para que pruebe tu sistema de seguridad, pero con la garantía de que si ese ladrón tiene problemas en su casa, no va a arrastrar sus problemas a la tuya.
Lo que esto significa para el resto
Red.es no está haciendo esto por capricho. Gestiona los dominios .es (todos esos sitios web que terminan en .es dependen de ellos) y maneja fondos europeos millonarios para la digitalización de España. Un fallo aquí no es solo un problema técnico, es un problema de país.
Y lo que me parece más inteligente: cada vulnerabilidad encontrada se clasifica en cinco niveles (crítico, muy alto, alto, medio, bajo) con su contexto y las técnicas usadas para explotarla. No se trata solo de encontrar agujeros, sino de entender cómo taparlos para siempre.
Mi conclusión después de analizarlo
Después de revisar este proyecto, tengo claro que Red.es está marcando el camino que deberían seguir todas las instituciones críticas. No esperan a que les ataquen para ver si están preparados; se adelantan y lo provocan ellos mismos.
Es arriesgado, caro y complejo, pero es la única forma real de saber si tus defensas funcionan cuando importa de verdad. Porque una cosa es hacer un test de penetración de una semana, y otra muy distinta es aguantar cuatro meses de ataques sostenidos por profesionales que saben exactamente dónde buscar.
Al final, Red.es ha entendido algo fundamental: en ciberseguridad, la única forma de estar preparado para lo peor es vivirlo en primera persona, pero de forma controlada. Y eso, créeme, es lo más inteligente que he visto hacer a una institución pública en mucho tiempo.
