Equipo rojo, azul y morado: qué hace cada uno en realidad.
Tres nombres que verás en cualquier oferta de empleo y que casi ninguna guía para principiantes explica con claridad. Esto es lo que hace de verdad cada equipo en su día a día, y cuál podría ser tu camino profesional.
Abre casi cualquier oferta de empleo de seguridad y verás una de estas tres palabras en el título, o escondida en el apartado de responsabilidades: rojo, azul o morado. Los portales de empleo dan por hecho que ya sabes lo que significan. La mayoría de guías para principiantes pasan de largo directamente a listas de herramientas y rutas de certificación. El resultado es que mucha gente se pasa meses estudiando antes de que alguien les siente de verdad y les explique, en términos sencillos, qué hace un miembro del equipo rojo un martes cualquiera frente a lo que hace uno del equipo azul, y por qué el "equipo morado" no es en realidad un equipo como tal.
El modelo de colores está tomado de los juegos de guerra militares —la fuerza atacante es la roja, la defensora es la azul— y encaja sorprendentemente bien en el trabajo de seguridad. Pero esa metáfora tan limpia esconde matices importantes, sobre todo en torno a la autorización, que es la parte que separa estos empleos de los delitos que se cometen con las mismas habilidades.
Equipo rojo (red team): simular a un adversario real, primero sobre el papel
El trabajo de un equipo rojo consiste en pensar y actuar como un atacante real contra los propios sistemas de la organización, usando las mismas tácticas de reconocimiento, explotación y postexplotación que emplearía un grupo criminal o un actor estatal. Esa es la parte que todo el mundo ya asocia con el nombre. Lo que la mayoría de explicaciones para principiantes se dejan es la parte que de verdad define el trabajo: nada de esto ocurre sin un alcance explícito y firmado y unas Reglas de Enfrentamiento (Rules of Engagement, RoE) acordadas de antemano con el cliente o con la dirección de la organización.
Las RoE detallan con exactitud qué está dentro de los límites y qué no: qué sistemas se pueden tocar, qué técnicas quedan vetadas, a quién llamar si algo se rompe y qué significa "parar". Un ejercicio de equipo rojo no es una barra libre en la que todo vale mientras funcione. Es una simulación controlada con una frontera legal y contractual a su alrededor, y mantenerse dentro de esa frontera, con precisión, es una competencia profesional central, no una ocurrencia de última hora.
Aquí es también donde el red teaming se separa de un test de penetración sin alcance definido, una distinción que hace tropezar a muchos recién llegados porque ambos implican "colarse en cosas en las que tienes permiso para colarte". Un test de penetración suele ser más amplio y más corto: encontrar y documentar tantas vulnerabilidades como sea posible en un conjunto definido de objetivos dentro de una ventana fija, y luego entregar un informe. Un ejercicio de equipo rojo suele tener un alcance más reducido pero una duración mayor, y el objetivo no es la cobertura: es el realismo. El equipo elige un objetivo plausible (llegar al controlador de dominio, exfiltrar un conjunto de datos concreto, demostrar que un fraude del correo corporativo es posible) e intenta alcanzarlo como lo haría un adversario real: de forma sigilosa, persistente y evadiendo activamente la detección. Un pentest pregunta "¿cuántas puertas están abiertas?". Un ejercicio de equipo rojo pregunta "si alguien quisiera entrar de verdad, ¿nos daríamos siquiera cuenta?".
Las herramientas reflejan ese objetivo. Los miembros del equipo rojo trabajan con frameworks de explotación como Metasploit para probar vulnerabilidades conocidas, y con frameworks de mando y control (C2) —Cobalt Strike y sus alternativas más modernas, a menudo más evasivas— construidos específicamente para la fase de "mantente sigiloso, mantente persistente" de un ejercicio, más que para la irrupción inicial. Si quieres hacerte una idea concreta de en qué se diferencian de verdad dos de estos frameworks en la práctica, consulta nuestra comparativa Metasploit vs Sliver.
Nada de esto es un tecnicismo. La autorización —el alcance firmado, las RoE, el punto de contacto designado— es la diferencia completa entre un miembro del equipo rojo y un criminal que ejecuta exactamente los mismos comandos. Las mismas herramientas, las mismas técnicas, a veces la misma mentalidad. El permiso es el trabajo.
Equipo azul (blue team): el trabajo diario de no sufrir una brecha
Si el trabajo del equipo rojo es episódico —ejercicios que empiezan, se ejecutan durante una ventana definida y terminan con un informe—, el del equipo azul es lo contrario: es el trabajo cotidiano y continuo de vigilar, detectar y responder que nunca se detiene del todo. Los miembros del equipo azul viven dentro de un SIEM (plataforma de gestión de información y eventos de seguridad) la mayor parte de la jornada, observando alertas, ajustando reglas de detección y averiguando cuáles de los cientos de avisos son ruido y cuál es real.
El rol se descompone en unas cuantas actividades concretas y recurrentes, más que en una única descripción de puesto:
- Vigilancia y triaje. Observar paneles y colas de alertas, decidiendo qué es un falso positivo y qué necesita escalarse: el grueso de la jornada de un analista de SOC.
- Ingeniería de detección. Escribir y afinar las reglas y consultas que convierten registros en bruto en alertas con sentido, para que el siguiente ataque real no se cuele como ruido.
- Respuesta a incidentes. Cuando algo se confirma, contenerlo, determinar el alcance y la causa raíz y ayudar a la organización a recuperarse; nuestra checklist de las primeras 24 horas de un incidente es una mirada real a esta parte del trabajo.
- Fortalecimiento (hardening). Cerrar las brechas detectadas mediante la vigilancia o incidentes anteriores antes de que vuelvan a usarse: parchear, endurecer configuraciones, reducir la superficie de ataque.
La plataforma que sostiene todo esto varía mucho según la organización y el presupuesto, y merece la pena entender bien las concesiones reales antes de especializarte; consulta nuestra comparativa Splunk vs Wazuh vs ELK para ver en qué se diferencian de verdad las principales opciones de SIEM en la práctica, y no solo sobre el papel.
Equipo morado (purple team): no es un tercer equipo, es un bucle de retroalimentación
Aquí está la parte que hace tropezar a casi todo el que es nuevo en este vocabulario: el equipo morado normalmente no es un tercer departamento fijo con su propia plantilla, situado entre el rojo y el azul en un organigrama. En la mayoría de organizaciones es un ejercicio o una metodología de colaboración: la práctica deliberada de hacer que el rojo y el azul trabajen juntos en tiempo real, en lugar de la forma secuencial y distante en que suele desarrollarse un ejercicio tradicional.
En un ejercicio clásico de rojo contra azul, el equipo rojo ataca, el azul defiende (o no lo consigue), y todos se enteran de lo que pasó cuando el informe final aterriza semanas después. En un ejercicio de equipo morado, ambos lados están en la misma sala, o en la misma llamada, a medida que ocurre. El equipo rojo ejecuta una técnica concreta y lo dice de inmediato; el azul comprueba si sus detecciones saltaron y, si no, por qué no; ambos lados se ajustan y prueban la siguiente técnica. La idea no es el secretismo ni "ganar": es comprimir el bucle de retroalimentación de semanas a minutos, para que las brechas defensivas se identifiquen y se corrijan mientras todos recuerdan todavía exactamente qué las provocó.
Por eso mismo, las organizaciones que solo ejecutan ejercicios de equipo rojo aislados, sin un verdadero debriefing de equipo morado, a menudo no mejoran gran cosa sus defensas con el tiempo. Un informe de equipo rojo que dice "entramos por aquí" es valioso, pero si el equipo azul nunca recibe un recorrido estructurado, técnica por técnica, de lo que debería haberse detectado y no se detectó, la misma clase de brecha tiende a reaparecer en el siguiente ejercicio con otro nombre. El purple teaming existe precisamente para cerrar ese bucle: es una metodología orientada a asegurar que la lección cale de verdad en el lado defensivo, no una simple etiqueta para quienes hacen "un poco de las dos cosas".
Los tres, uno al lado del otro
- Equipo rojo. Objetivo: demostrar que existe una vía de ataque realista y ver si se detecta. Día típico: reconocimiento, explotación, persistencia sigilosa, respeto escrupuloso del alcance. Habilidad clave: técnica ofensiva más disciplina bajo unas RoE firmadas. Modelo de autorización: explícito, acotado en el tiempo, contractual; el ejercicio tiene un inicio, un fin y una frontera definidos.
- Equipo azul. Objetivo: detectar, contener y reducir la exposición de la organización de forma continua. Día típico: vigilancia del SIEM, triaje de alertas, ajuste de detecciones, gestión de incidentes. Habilidad clave: reconocimiento de patrones en datos ruidosos y calma ante un incidente real. Modelo de autorización: permanente, ligado al propio empleo; no hace falta un alcance de ejercicio especial porque la defensa es el trabajo por defecto.
- Equipo morado. Objetivo: cerrar la brecha entre lo que encontró el rojo y lo que el azul detectó de verdad. Día típico (como ejercicio): recorridos conjuntos, técnica por técnica, con ambos lados presentes. Habilidad clave: comunicación y facilitación tanto como profundidad técnica. Modelo de autorización: hereda el alcance del ejercicio de equipo rojo, ya que se construye sobre él.
Dos términos relacionados aparecen a medida que este modelo de colores se amplía en organizaciones más grandes, y conviene conocerlos aunque sea en una frase cada uno: un "equipo blanco" (white team) actúa como árbitro y dueño del alcance en los ejercicios de mayor envergadura —las personas que custodian las RoE, resuelven disputas y pueden dar el alto—, y un "equipo amarillo" (yellow team) se refiere a los desarrolladores y arquitectos que integran la seguridad desde el origen, en lugar de probarla o defenderla después de los hechos.
¿Cuál es tu camino?
Ninguno de estos es mejor ni más "de élite" que los demás: recompensan temperamentos genuinamente distintos. El trabajo de equipo rojo le va a quien disfruta resolviendo problemas abiertos y aguanta largos tramos sin una señal clara de que algo esté funcionando. El de equipo azul le va a quien le gusta el reconocimiento de patrones, la estructura y la satisfacción de cazar algo real en un mar de ruido. El de equipo morado, como suele añadirse sobre una base de rojo o azul en lugar de ser una puerta de entrada aparte, le va a quien además disfruta traduciendo hallazgos en algo sobre lo que el otro lado pueda actuar de verdad. Si todavía estás situando dónde encaja todo esto dentro de un plan de estudio más amplio, nuestra guía hoja de ruta y carreras en ciberseguridad cubre el recorrido completo desde los fundamentos hasta un puesto concreto.