ofensiva
breach and attack simulation
BAS
validación de seguridad

Breach and Attack Simulation (BAS): guía completa

Qué es Breach and Attack Simulation (BAS): categoría de validación continua, cómo funciona, plataformas líderes y cuándo usar BAS frente a Red Team.

Secra6 de julio de 202611 min de lectura

Breach and Attack Simulation (BAS) es una categoría de tecnología que automatiza la ejecución continua de ataques simulados contra tu propia infraestructura para comprobar, de forma segura y repetible, si tus controles de seguridad los detienen. En lugar de esperar al pentest anual o al ejercicio de Red Team para descubrir que el EDR no salta o que una regla del SIEM lleva meses rota, una plataforma de Breach and Attack Simulation lanza cientos de técnicas conocidas cada día y devuelve un veredicto medible: qué se previene, qué se detecta y qué pasa sin dejar rastro. En el mercado español el término se usa en inglés (los profesionales dicen BAS, no "simulación de ataque", que es genérico), y desde 2024 Gartner lo integró, junto al pentesting automatizado, dentro de la categoría Adversarial Exposure Validation (AEV).

Lo esencial sobre BAS

  • Automatiza ataques simulados y seguros contra tu entorno para validar controles de forma continua.
  • No sustituye al Red Team humano ni al pentest: cubre la amplitud de técnicas entre ejercicios.
  • Cada técnica se mapea a MITRE ATT&CK y produce un mapa de calor de cobertura real.
  • Plataformas de referencia: Cymulate, AttackIQ, SafeBreach, Picus y Pentera.
  • Gartner lo agrupa hoy bajo Adversarial Exposure Validation (AEV), la fase de validación de CTEM.

Qué es Breach and Attack Simulation (BAS)

El BAS es la disciplina de emular de forma automatizada el comportamiento de un atacante para medir la eficacia de tus defensas sin poner en riesgo la operación. La diferencia con un escáner de vulnerabilidades es conceptual: un escáner te dice qué fallos existen en un activo, mientras que una plataforma BAS te dice si tus controles detienen la técnica que un adversario usaría para explotar ese fallo. El escáner mira el candado; el BAS intenta abrir la puerta.

Gartner acuñó el término alrededor de 2017 para nombrar un mercado incipiente de herramientas que ejecutaban técnicas ofensivas de manera continua. En 2024 consolidó ese mercado, junto al pentesting automatizado, bajo el paraguas de Adversarial Exposure Validation (AEV), que a su vez es la fase de validación dentro de CTEM (Continuous Threat Exposure Management). El nombre de producto ha evolucionado, pero la propuesta técnica del BAS sigue intacta: ataques seguros, repetibles y anclados a un marco común de tácticas y técnicas.

Ese marco común es MITRE ATT&CK. Toda plataforma BAS seria expresa lo que ejecuta y lo que mide en identificadores de técnica de ATT&CK, lo que permite comparar cobertura, priorizar por amenaza real y hablar el mismo idioma que el equipo de detección.

Cómo funciona una plataforma BAS

Arquitectura: agentes y simuladores

La mayoría de plataformas despliegan agentes ligeros en endpoints y servidores representativos de cada segmento de red. Estos agentes actúan a la vez como atacante y como víctima: uno intenta la técnica y otro la recibe, de modo que el intercambio malicioso ocurre en un canal controlado y nunca abandona los límites que has definido.

Escenarios y payloads seguros por diseño

El corazón de una plataforma BAS es su biblioteca de escenarios: cadenas completas de ataque que recorren la kill chain desde el acceso inicial hasta la exfiltración. Un escenario típico entrega un fichero malicioso a un buzón (T1566), lo ejecuta (T1059), intenta persistencia (T1547), vuelca credenciales simulando la técnica de credential dumping (T1003), se mueve lateralmente (T1021) y exfiltra datos a un servidor controlado por el fabricante (T1048 o T1567).

La clave es que los payloads son seguros por diseño: se usa el fichero de prueba EICAR en lugar de malware real, versiones neutralizadas de herramientas de volcado de credenciales, o balizas de C2 que apuntan a la infraestructura del proveedor y no ejecutan código dañino. Así se valida la reacción del control (bloqueo, alerta, silencio) sin el riesgo de un ejercicio ofensivo real. La contrapartida es evidente: un payload neutralizado se parece al ataque, pero no es idéntico, y ahí es donde el Red Team humano sigue siendo insustituible.

Tres enfoques de simulación

  • Basado en agentes, para validar la cadena de extremo a extremo dentro del endpoint y entre segmentos.
  • Basado en tráfico de red, para probar controles perimetrales y de inspección con flujos maliciosos entre simuladores.
  • Evaluación de postura cloud, que revisa configuraciones y rutas de ataque en AWS, Azure o GCP sin desplegar agentes.

BAS y MITRE ATT&CK: cobertura y validación de detección

El entregable más útil de una plataforma BAS es el mapa de calor sobre la matriz de MITRE ATT&CK: cada celda queda marcada como prevenida (el control bloqueó la técnica), detectada (no la bloqueó pero generó una alerta) o fallida (pasó sin dejar rastro). Esa foto convierte una intuición difusa ("creemos que el EDR nos cubre") en un porcentaje de cobertura defendible ante el comité de dirección.

El valor real llega al cerrar el bucle. Cada técnica que quedó en rojo debe traducirse en una regla de detección nueva, normalmente versionada como código con Sigma, y en una reejecución que confirme que ahora sí salta la alerta. Para eso conviene correlacionar la ejecución de la plataforma con los identificadores de alerta del SIEM y la telemetría del EDR: sin esa correlación, el BAS solo produce listas de malas noticias. Ahí es donde la validación se cruza con técnicas de evasión reales, un terreno que exploramos en evasión de EDR con LLM, porque un control que detecta la versión enlatada de una técnica puede seguir siendo ciego ante su variante ofuscada.

Como referencia externa e independiente, las MITRE Engenuity ATT&CK Evaluations publican cómo distintos productos de EDR detectan a grupos como APT29 o LockBit, un contraste útil para no fiarse solo del panel del fabricante.

BAS frente a Red Team y pentesting

Aquí está la confusión comercial más frecuente. El BAS no compite con el Red Team ni con el pentest: ocupa un hueco distinto en amplitud y cadencia.

EnfoqueNaturalezaFrecuenciaQué aporta
PentestingProfundidad manual sobre un activoTrimestral o anualVulnerabilidades explotables acotadas
Red TeamSimulación adversaria sigilosa y humanaAnual o bianualPrueba honesta de detección y respuesta
BASSimulación automatizada y repetibleContinua (diaria o semanal)Amplitud de técnicas contra los controles

Un pentesting encuentra fallos profundos en un activo concreto en un momento dado. Un Red Team mide si tu defensa detecta a un adversario creativo que persigue objetivos de negocio, con toda la carga de sigilo y astucia que una máquina no reproduce. El BAS automatiza la ejecución de técnicas ya conocidas para poder repetirlas cada día y detectar la degradación silenciosa de los controles (un certificado que caduca, un agente que deja de reportar, una regla que alguien deshabilitó). Los tres se orquestan dentro de un programa de validación de seguridad continua, que decide cuándo toca amplitud automatizada y cuándo profundidad humana. En una frase: el BAS comprueba si detectas las técnicas conocidas cada día, y el Red Team si detectas a un humano ingenioso que las combina de forma inesperada una vez al año.

Plataformas BAS: panorama del mercado

Comerciales

  • Cymulate: plataforma amplia que combina BAS, gestión de superficie de ataque y validación continua, con foco en la agilidad y en la reejecución frecuente de escenarios.
  • AttackIQ: orientada a la optimización de controles con un mapeo muy estricto a ATT&CK y una fuerte apuesta formativa (AttackIQ Academy); su modalidad Flex permite pruebas sin agente.
  • SafeBreach: conocida por su Hacker's Playbook, un catálogo enorme de escenarios que incorpora rápido las técnicas de amenazas emergentes tras cada informe de brecha.
  • Picus Security: pionera del mercado, aporta una biblioteca de mitigaciones (Picus Blue) con firmas y reglas específicas por fabricante para acelerar el cierre del bucle.
  • Pentera: más cercana al pentesting automatizado, prioriza la explotación real de rutas de ataque encadenadas sobre la simulación de payloads neutralizados.

Código abierto

Para empezar sin licencias, el ecosistema abierto cubre buena parte de las técnicas: MITRE Caldera para emulación de adversario automatizada, Atomic Red Team de Red Canary para pruebas atómicas por técnica (se lanzan con Invoke-AtomicTest T1059.001 desde PowerShell), Infection Monkey para probar segmentación y movimiento lateral, y Stratus Red Team de Datadog para técnicas específicas de cloud. Muchas organizaciones combinan ambos mundos: abierto para el trabajo del equipo técnico y comercial para la trazabilidad ejecutiva y el reporting listo para auditoría.

Cuándo adoptar BAS (guía para organizaciones españolas)

El BAS solo rinde si tienes algo que validar. Si no cuentas con SOC, EDR ni reglas de detección, la plataforma solo confirmará lo que ya sabes: que no hay defensa que medir. En ese escenario, primero conviene un pentesting y desplegar controles básicos, y solo después incorporar BAS para vigilar que esos controles no se degradan.

A partir de una madurez media, con un Blue Team capaz de recibir hallazgos, el BAS encaja bien cuando quieres respuesta continua a "¿mis controles siguen funcionando hoy?" sin pagar un ejercicio manual cada semana. La secuencia razonable es clara: pentest para encontrar fallos, BAS para vigilar controles a diario, Red Team una o dos veces al año para el examen final sin previo aviso.

En el plano regulatorio, tanto NIS2 como DORA exigen probar la eficacia de las medidas, no solo declararlas. El BAS genera exactamente esa evidencia auditable y recurrente, y encaja de forma natural entre los ejercicios TLPT dirigidos por inteligencia (obligatorios bajo DORA para entidades financieras designadas, con cadencia mínima de tres años bajo el marco TIBER-EU): la simulación continua cubre los meses en los que no hay Red Team humano y demuestra, técnica a técnica, que la detección sigue en pie.

Preguntas frecuentes

¿Breach and Attack Simulation sustituye al Red Team?

No. Lo complementa. El BAS aporta amplitud y continuidad ejecutando técnicas conocidas de forma automatizada y segura, pero trabaja con payloads neutralizados y no reproduce la creatividad ni el sigilo de un operador humano que improvisa. El Red Team sigue siendo el único ejercicio que prueba de verdad la detección bajo presión real. Lo correcto es usar BAS entre campañas de Red Team, no en lugar de ellas.

¿Qué diferencia hay entre BAS y un escáner de vulnerabilidades?

Un escáner identifica qué fallos existen en un activo (un CVE sin parchear, una configuración débil). El BAS no busca fallos nuevos: valida si tus controles detienen la técnica que un atacante usaría para explotar esos fallos. Un escáner puede decirte que eres vulnerable a Log4Shell (CVE-2021-44228); el BAS te dice si tu WAF y tu EDR detectan y frenan el intento de explotación.

¿Qué plataforma BAS debería elegir?

Depende del objetivo. Si buscas amplitud continua y superficie de ataque en un solo panel, Cymulate encaja bien; si tu prioridad es optimizar controles con un mapeo estricto a ATT&CK, AttackIQ o Picus; si necesitas explotación real de rutas encadenadas, Pentera. Antes de licenciar, valida un piloto con Caldera o Atomic Red Team para calibrar qué cobertura necesitas de verdad.

¿Ayuda el BAS a cumplir con DORA y NIS2?

Sí. Ambos marcos exigen demostrar que los controles funcionan, no solo que están instalados. El BAS produce evidencia auditable y recurrente de la eficacia defensiva, y complementa los ejercicios TLPT de red team dirigido por inteligencia que DORA impone a las entidades financieras significativas, cubriendo la validación en los periodos entre esos ejercicios.

¿Puedo empezar con BAS de código abierto?

Sí. Atomic Red Team, MITRE Caldera y Stratus Red Team permiten validar buena parte de las técnicas sin coste de licencia y son ideales para un piloto. Las plataformas comerciales aportan cobertura mantenida, integraciones y reporting listo para comité, algo que se vuelve rentable cuando el programa madura y necesita gobernanza y trazabilidad ejecutiva.

Siguiente paso

Una plataforma BAS solo aporta valor si alguien la configura con criterio de amenaza y cierra el bucle hasta la detección. En Secra diseñamos y operamos ese ciclo: emulación de adversario alineada con MITRE ATT&CK, integración del BAS con tu SOC y tu Blue Team, y validación recurrente que convierte cada hueco en una regla de detección verificada. Si quieres saber en qué punto está tu detección hoy, cuéntanos el contexto y te decimos por dónde empezar.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo