Capturar la bandera: Cómo descubrir y motivar futuros talentos en ciberseguridad

Los juegos, ensayos y simulaciones, por muy simples que parezcan, muchas veces nos ayudan a prepararnos para situaciones reales. En esta última categoría podemos clasificar las competencias de ciberseguridad denominadas CTF o Capture The Flag.

¿Qué son los CTF?

El objetivo de estas actividades es simple: competir contra otros equipos en vulnerar la mayor cantidad de sistemas en un laboratorio de entrenamiento (creados específicamente para este propósito), en el menor tiempo posible. En muchos casos, la vulneración de los sistemas se demuestra presentando un valor escondido en la máquina vulnerada, conocido como flag, cuyo puntaje otorgado varía dependiendo de la dificultad del desafío que se debe resolver para obtenerla.

En el caso de algunos tipos de CTF, los problemas suelen estar clasificados en categorías según los conocimientos necesarios para resolverlos, entre las cuales se suelen encontrar esteganografía, criptografía, vulneración de aplicaciones web, ingeniería reversa y pwning (vulnerabilidades de control de flujo y escalamiento de privilegios). En otros casos, se emula una situación de ataque y defensa simultánea, en el que el equipo que defiende está encargado de parchar un conjunto de sistemas vulnerables y el equipo que ataca debe encontrar y explotar las vulnerabilidades presentes en ellos.

CTF como un recurso de aprendizaje y motivación

El carácter lúdico y competitivo de los CTF permite motivar tanto a estudiantes de carreras afines a la ciberseguridad como a profesionales con experiencia, lo cual combinado a la oportunidad de explotar vulnerabilidades existentes en sistemas reales les permite adquirir conocimientos prácticos y técnicos que no podrían obtener tan fácilmente a través de la educación tradicional.

Un respaldo de lo anterior es el hecho de que muchas certificaciones de ciberseguridad ofensiva impartidas por empresas conocidas (EC-Council, OffSec, INE, HTB Academy, entre otras) incluyen como requisito final el desarrollo de pruebas técnicas que emulan parcialmente el formato de este tipo de competencias.

Además, los desafíos impartidos en las competencias importantes suelen actualizarse recurrentemente, incluyendo vulnerabilidades y estrategias de explotación descubiertas en fechas cercanas al desarrollo de la competencia. Esto permite a los especialistas e interesados en ciberseguridad el mantenerse actualizados con respecto a las amenazas que con mayor probabilidad podrían enfrentar en el futuro cercano.

Como beneficio adicional, si consideramos el caso de los CTF grupales, es posible desarrollar habilidades de trabajo en equipo, división de responsabilidades, manejo de tiempo y desarrollo de la capacidad de explicar y enseñar a tus pares, lo que puede ser muy útil cuando tus compañeros o compañeras de CTF son también tu círculo de estudio o trabajo.

Competencias de CTF en las que el CSIRT ha estado involucrado

En el mundo público, como CSIRT hemos organizado y participado de algunos CTF durante los últimos años. Durante el último año, hemos participado del ejercicio TRABÜN 2023 y de un CTF organizado por INTERPOL en Filipinas.

También colaboramos el año pasado en la organización de dos competencias. Una de ellas es la OEA Cyber Challenge 2023, competencia internacional realizada en Chile en la que resultó vencedor el equipo local, compuesto por los estudiantes Camilo Vera, Sebastián Zapata, Diego Arias y Pablo Aravena. La otra corresponde a SheSecures, en la cual participaron 41 equipos de mujeres mayores de 16 años y en la cual resultaron ganadoras María Ignacia Sánchez y Constanza Villegas, integrantes del equipo Cyberia.

Otras competencias de CTF (y sus ganadores)

La comunidad de ciberseguridad nacional también ha organizado y ha participado de muchos de estos eventos, tanto nacionales como internacionales. A continuación, mencionamos algunos de los eventos realizados durante el último tiempo.

• Q4: Corresponde a una competencia realizada remotamente el año 2020 (durante la pandemia) y presencialmente a mediados de 2023. En su última edición, participaron más de 10 equipos, de los cuales el ganador fue cntr0llz.
• CTFs 8dot8: La conocida conferencia de ciberseguridad 8.8 organizó un CTF en la sede sur del INACAP el año pasado. No encontramos el nombre del equipo ganador, pero sí un video en Instagram en el que los entrevistan durante la premiación.
• Campo de Marte: La Universidad Técnica Federico Santa María, en conjunto con la Policía de Investigaciones de Chile, organizan anualmente un CTF en el mes de la ciberseguridad. El año pasado, el equipo ganador fue Pwnvengers.
• Hack.ING: Por segundo año consecutivo, en abril de este año, el grupo estudiantil de la Universidad Católica Hack.ING organizó un CTF que convocó a 270 personas en 64 equipos, siendo vencedor nuevamente el equipo Pwnvengers.
• OEA Cyber Women Challenge 2023: Competencia internacional organizada por la OEA en la que participaron 11 países, incluyendo Chile. En esta ocasión, dos equipos integrados por chilenas Gabriela Mayro, Melissa Silva, Paola de la Vega, Lizette González y Marta Castillo obtuvieron los dos primeros lugares.
• Ekoparty 2023: Durante la conocida conferencia de ciberseguridad latinoamericana, se desarrolló un CTF de varios días, en el cual el primer lugar fue obtenido por un equipo de 10 chilenos, representando una empresa de ciberseguridad nacional: Nassim Hamer, Nicolás Pérez, Mateo Contenla, Diego Gallego, Benjamín Aguilar, Cristian Farías, Mauricio Candia, Caetano Borges, Leandro Donaire y Andrés Godoy.
• Equipo Latinoamericano International Cybersecurity Challenge (ICC) 2024: Desde el año 2022, un conjunto de organizaciones públicas y privadas de todo el mundo organizan una competencia de tipo CTF para menores de 25 años, en la cual participan equipos representantes de América Latina, Europa, Estados Unidos, Canadá, Asia, Oceanía y África. El año 2024, la competencia se realizará en Santiago, Chile, y muy pronto publicarán la nómina de seleccionados (el año pasado fueron Caetano Borges, Camilo Vera, Robert Parra y Pablo Aravena).

Cómo iniciarse y prepararse para participar de CTFs

Para iniciarse en CTFs, lo mejor es participar directamente en ellos, por lo que recomendamos participar de cualquier competencia abierta en línea. Una página conocida para conocer competencias en curso es CTFTime, portal que detalla eventos en curso y programados para el futuro.

Para prepararse en este tipo de competencias te recomendamos los siguientes recursos:

• HackTheBox: Plataforma con una gran cantidad de problemas de tipo CTF de distintas dificultades. De vez en cuando organizan CTFs abiertos u orientados a industrias específicas.
• TryHackMe: Plataforma similar a HackTheBox, con ejercicios y tutoriales.
• Wargames de OverTheWire: Plataforma con problemas de dificultad incremental de tipo web y escalamiento de privilegios
• CryptoPals: Ejecricios de desarrollo de herramientas criptográficas, útiles para entender problemas de criptografía
• Apunte Taller de Hacking Competitivo: Recurso libre en español desarrollado para el curso que co-dicto en la Universidad de Chile, en conjunto con otros dos profesionales de ciberseguridad (Sergio Leiva y Diego Vargas).

Comentarios finales

Como ya les mostramos, existen bastantes beneficios por participar de este tipo de competencias. Aparte de ser una herramienta para integrarse mejor a una comunidad de profesionales de ciberseguridad, es posible mantenerse actualizado sobre los últimos ataques y desarrollar habilidades de trabajo en equipo.

También existe un montón de recursos de aprendizaje, lo que hace que la evolución en el desempeño en este tipo de competencias dependa fundamentalmente de la motivación y la práctica metódica de los participantes y sus equipos.

En el CSIRT esperamos que esta lista de recursos sirva para motivar a más entusiastas y profesionales a participar de este tipo de desafíos, ayudando a potenciar la comunidad de ciberseguridad de nuestro país y mejorando las capacidades y el nivel técnico de sus participantes.