BAS no sustituye al pentesting ni al red team. Pentesting profundiza en aplicaciones, lógica de negocio y rutas creativas; red team emula a un adversario completo durante semanas con objetivos contractuales. BAS cubre la cobertura defensiva a escala y de forma continua. Los tres se complementan.
Qué es BAS
BAS (Breach and Attack Simulation) es la categoría de plataformas que emula de forma controlada y continua técnicas reales de ataque para validar si las defensas desplegadas funcionan como se espera. A diferencia de un pentest tradicional —ejecutado por un equipo humano en una ventana de tiempo concreta— BAS automatiza la ejecución de cientos o miles de pruebas, las repite con la cadencia que la organización decida y mide si los controles (EDR, SIEM, segmentación de red, correo, navegador) detectan o bloquean cada técnica. Las pruebas suelen estar mapeadas a MITRE ATT&CK, lo que permite traducir cobertura de control a tácticas y técnicas concretas en lugar de a un porcentaje vacío.
Por qué importa
La pregunta de un comité de seguridad nunca es "¿cuántos productos tenemos desplegados?", sino "¿lo que tenemos funciona contra los ataques que realmente recibimos?". Las respuestas basadas en métricas de adquisición (parches al día, agentes desplegados, reglas habilitadas) dejan de servir cuando la dirección entiende que un agente desplegado sin alertar es exactamente lo mismo que no tener agente. BAS responde a esa pregunta con evidencia: cada técnica simulada produce una traza que indica si fue detectada, bloqueada o ignorada. Para programas alineados con NIS2, DORA o ISO 27001, esa evidencia continua es uno de los mejores insumos para mostrar gestión madura de controles.
Puntos clave
Las pruebas más útiles están mapeadas a MITRE ATT&CK por táctica y técnica. Eso permite producir mapas de calor de cobertura ('estamos sin detección en ejecución, persistencia y exfiltración') que orientan inversión con claridad.
BAS funciona bien cuando se ejecuta sobre un programa de validación, no como tirada puntual. La cadencia recomendada es semanal o quincenal para técnicas críticas y mensual para el resto. Los resultados se comparan en el tiempo para detectar regresiones tras cambios de versión o de política.
La integración con el SIEM y el SOC es clave. Las pruebas BAS deben quedar marcadas como tales para no contaminar la respuesta a incidentes, pero también deben generar el mismo tipo de telemetría que un ataque real para validar reglas y playbooks.
Una plataforma BAS bien gobernada tiene autoridad explícita para ejecutar sus pruebas y opera en ventanas acordadas. Sin reglas de engagement claras y sin coordinación con TI, la herramienta acaba bloqueada por el propio equipo defensivo o generando falsos incidentes los fines de semana.
BAS es especialmente útil tras un cambio: actualización de versión del EDR, nueva política de correo, despliegue de regla nueva en el SIEM. Repetir el conjunto de pruebas relevantes confirma que el cambio no rompió detección que ya funcionaba.
Ejemplo: programa BAS continuo en una empresa con SOC propio
Una empresa con SOC interno, EDR desplegado en endpoint y correo en cloud despliega una plataforma BAS sobre un subconjunto representativo de equipos. El primer barrido completo ejecuta 350 técnicas de MITRE ATT&CK en tres horas y devuelve un mapa de cobertura: el EDR detecta el 92 por ciento de las técnicas de ejecución, el 78 por ciento de persistencia, el 64 por ciento de movimiento lateral y sólo el 41 por ciento de exfiltración. La empresa descubre además que las reglas del SIEM generan alerta en cuatro de los seis casos de uso considerados críticos, lo que sugiere ajustar dos reglas y crear una nueva.
A partir del baseline, el equipo programa una pasada quincenal del subconjunto crítico y una pasada mensual completa, ambas dentro de ventana acordada con TI. Cada actualización mayor del EDR o cambio de política dispara una pasada extra de comparación. Tres meses después, la cobertura ha subido al 86 por ciento medio y, sobre todo, el equipo tiene una vista honesta y comparable de la postura ofensiva-defensiva que sirve para presentar al comité y para alimentar el siguiente ejercicio de threat hunting.
Errores habituales
- Tratar BAS como un escáner de vulnerabilidades. Son problemas distintos. El escáner busca debilidades por activo; BAS valida si las defensas detectan o bloquean técnicas de ataque. Las dos disciplinas se complementan pero no se sustituyen.
- Ejecutar BAS sin coordinar con TI y SOC. Las pruebas generan telemetría que parece ataque real; sin coordinación, el equipo defensivo invierte horas en incidentes que no existen y la herramienta termina deshabilitada.
- Quedarse en el primer barrido. El valor de BAS está en la comparación temporal y en la detección de regresiones tras cambios. Una tirada puntual sirve como diagnóstico inicial, pero no convierte BAS en programa.
- Confundir cobertura con seguridad. Un mapa de calor verde en MITRE ATT&CK no significa que la organización esté protegida: significa que las técnicas concretas simuladas fueron detectadas. Combinado con validación manual por equipo ofensivo, da una imagen más fiel.
- Sustituir red team por BAS. BAS automatiza muchas técnicas pero no improvisa, no encadena, no aprovecha errores humanos. Una organización que sólo confía en BAS pierde la dimensión adversaria real que sí ofrece un ejercicio de red team.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿En qué se diferencia BAS de un pentest tradicional?
Un pentest se ejecuta por un equipo humano en una ventana acotada y profundiza en aplicaciones, lógica de negocio y caminos creativos. BAS automatiza la ejecución de un catálogo amplio de técnicas mapeadas a MITRE ATT&CK y las repite con la cadencia que la organización decida, midiendo si las defensas detectan o bloquean cada una. Pentest da profundidad sobre alcance acotado; BAS da cobertura continua. Son disciplinas complementarias.
¿BAS sustituye al red team?
No. El red team emula un adversario completo durante semanas con objetivos contractuales y aprovecha errores humanos, encadenamiento de técnicas y oportunidades que ningún catálogo automatizado contempla. BAS aporta volumen, cadencia y métricas; red team aporta presión adversaria real. Un programa maduro combina los dos.
¿Qué requisitos técnicos tiene desplegar BAS?
La mayoría de plataformas requieren agentes ligeros en un subconjunto representativo de endpoints y servidores, un acuerdo explícito con TI sobre ventanas de ejecución y reglas de engagement, e integración con SIEM y EDR para que las pruebas se distingan de ataques reales. El despliegue es sencillo; el reto está en la gobernanza, no en la tecnología.
¿Cómo se mide el valor de un programa BAS?
Las métricas más útiles son la cobertura por táctica MITRE ATT&CK (porcentaje de técnicas detectadas o bloqueadas por categoría), el tiempo medio de detección sobre técnicas críticas, el número de regresiones detectadas tras cambios y la evolución del mapa de calor entre pasadas. Esas métricas se entienden en comité y guían inversión sin necesidad de detalle técnico.