‘Captura la bandera’ y otros retos informáticos para poner a prueba tus habilidades de hacker
WSL Branded Content
Toda actividad profesional requiere deretos y desafíos para su mejora continua, algo particularmente cierto en la dinámica y cambiante realidad de la cultura digital, protegida por los hackers. Este cuerpo de profesionales sonla mejor línea de defensa de las organizaciones frente a loscrackersy otros ciberdelincuentes. Aprenden en másteres de ciberseguridad comoel que ofrece IMMUNE, y se entrenan en CTFs o escenarios virtuales.
¿Quieres poner a prueba tus conocimientos en Ciberseguridad? Apúntate al CTF organizado por IMMUNE Technology Institute en colaboración con Hack & Beers este 12 de septiembre. Aprende con los mejores expertos de forma online y participa en el retoCapture the Flag. ¿Te ves capaz de superarlo? ¡Tiene premio!
Estoseventos competitivosparten de la base darwiniana de que una carrera de obstáculos de fondo es una forma fantástica de demostrar, descubrir y compartir conocimientos informáticos. Y, por tanto, deser capaces de responder mejor en un futuro a un ataque informáticoo programar mejores defensas. Ese es el objetivo último: ser mejores protectores del mundo virtual y, por qué no, poder presumir de ello en el currículum.
Qué son los CTF o entrenamientos en seguridad informática
Los CTF oCapture The Flagson “una serie de desafíos informáticos enfocados a la seguridad”según el Instituto Nacional de CiberseguridadINCIBE. Tienen por objetivo aprender y mejorar las competencias de hackers o equipos de hackers. El desafío se plantea como el clásico “captura la bandera”, una competición por equipos en la que se debe llegar a esta en el menor tiempo posible y antes que los adversarios, aunque en este caso las banderas o llaves (keys) son logros digitales.
Estos eventos, que pueden durar varios días de trabajo casi ininterrumpido a modo de maratón o competición de fondo, están conformados poruna serie de retos decomplejidad creciente. Actúan como entrenamientos intensivos, puesta a prueba de habilidades previas, nuevos retos para los participantes o un sistema de aprendizaje colectivo.
Así, una vez que todos los equipos han resuelto una determinada prueba o se ha terminado el tiempo designado,se publican los métodos aportados de forma que todos los equipos puedan aprender otras formas de llegar a la misma solución. Es el equivalente a publicar la ruta de acceso de cada equipo en el ‘captura la bandera’ clásico. Ya solo por eso merece la pena participar.
CTF, un ciberdeporte de equipo
Los eventos CTF se consideranuna forma de ciberdeporteque se practica en interiores y sobre el teclado. El cine y la cultura pop a menudo han destacado el hackeo como una actividad solitaria, realizada a altas horas de la madrugada y, por algún motivo extraño, parece exigir el uso de una sudadera con capucha.Spoiler: no es necesaria.
Incluso se ha llegado a confundir los conceptos dehacker, individuo con gran conocimiento en seguridad informática que utiliza sus habilidades para hacer el bien; con el de ciberdelincuente, personas que vulneran sistemas de seguridad de forma ilícita. La realidad es que ni los hackers son delincuentes ni trabajan solos. De hecho, en la actualidad esmás importante que nunca el relacionarse y trabajar en equipo.
Lo mismo ocurre durante el proceso de aprendizaje en las escuelas. Ser capaces de mantener conversaciones y colaborar con nuestros compañeros de clase, tal y como fomenta el centro IMMUNE Technology Institute en cursos como suComputer Entrepreneurship Bachelor, es un elemento básico a la hora de aprender y superar retos juntos. El motivo es evidente: no todos tenemos las mismas habilidades y podemos apoyarnos entre nosotros para avanzar unidos.
Así, alguien puede ser excepcional en ingeniería inversa y sus compañeros dominar las disciplinas de criptografía, análisis forense o esteganografía, respectivamente. Contar conequipos multidisciplinares y heterogéneossuele ayudar en estas competiciones.
Cuando se habla de competiciones individuales, que también las hay, estasreciben el nombre dewargames. La mecánica es la misma, pero en este caso la participación suele ser individual y los retos más sencillos. Aunque también son interesantes, especialmente a la hora de demostrar habilidades concretas de forma personal, no tienen la misma fuerza ni espíritu que los CTF.
¿En qué áreas se dividen los CTFs?
Como toda competición deportiva, losCTFs están reguladosy cuentan con su propia normativa interna, árbitros, sistemas de puntuación y descalificación o categorías. Según el conocido ingeniero de softwareStanisław Podgórski, con experiencia en la ESA y el CERN, existen algunas categorías generales:
Ingeniería inversa oreverse engineering: consiste en inferir el funcionamiento de determinado software basado en su código o incluso en programar código en base al comportamiento de cierta utilidad.
Seguridad web oweb security: implementación de medidas de seguridad en la web, así como su parcheado e incluso la vulneración como objetivo.
Criptografía ocrypto: descifrar textos u otro tipo de documento que haga uso de sistemas cifrados. En estas competiciones, el tiempo suele ser un factor determinante.
Análisis forense oforensics: recuperación de información de todo tipo (texto, imagen, vídeo, etc) en memorias dañadas, así como en memorias en buen estado, pero con tecnología “obsoleta”. Se trata también de saber dar respuesta a un incidente de seguridad.
Explotación opwn: consiste en descubrir vulnerabilidades dentro de un servidor que permitan acceder, sustraer información y vulnerar la integridad, disponibilidad y confidencialidad de los datos.
Esteganografía ostego: ser capaces de descubrir información oculta (steganos) dentro de otros objetos (portadores). Por ejemplo, que una imagen oculte un texto o que un texto contenga una URL escondida.
Programación oPPC: son desafíos que se superan mediante la programación de scripts o programas específicos que hagan determinada tarea.
Misceláneo omisc: se trata de retos aleatorios, a menudo combinados, como la ‘captura la bandera’ en distintos sitios de la web o un trivial.
Quienes se presentan a estas competiciones tienen amplia experiencia en alguno o varios de estos puntos. Pero también soneventos interesantes para estudiantes, especialmente para aquellos que cursan titulaciones orientadas a la resolución de casos realistas como es el caso del Máster de Ciberseguridad de IMMUNE, con orientacióncase to be solvedy escenarios del mundo real.
Ganar un CTF, ¿puntos de experiencia para el currículum?
Del mismo modo que los atletas profesionales comparten sus logros y medallas como los hitos que son, loshackerscomparten en sus currículums los diplomas conseguidos en los eventos de ‘captura la bandera’. Sonuna forma de medalla virtual que los distingue en sus respectivoshallsde la famay sirven para demostrar ciertas capacidades y habilidades ante terceras partes.
Toda esta competición se enmarca dentro de unamecánica de “gamificación"de forma que el reto se parece más a una competición amistosa y a un juego que a un reto deciberataque real, aunque evidentemente tiene repercusiones reales y el enfrentamiento suele ser arduo. Especialmente en los juegos de defensa-ataque donde cada equipo recibe un rol y un objetivo.
Esta mecánica de juego competitivo se ha demostrado muy útil a la hora de atraer talento a los CTFs, de modo queel entrenamiento en seguridad informática se convierte en un reto con ganadores. Ganar un CTF no solo aporta puntos de experiencia para hacer más atractivo el currículum, también es una manera fantástica de conocer profesionales del sector odemostrar nuestras habilidades anteheadhunters.
Fomentar este tipo de interacción social y el descubrimiento de talento en la ciberseguridad son los objetivos por los que IMMUNE y Hack & Beers se unen en elCTF del 12 de septiembre en IMMUNE Campus Madrid. Ya es posible apuntarse a estas charlas, así como a la competición para superar el retoCapture the Flagque se propondrá.
Asimismo, si te interesa formarte en ciberseguridad, el próximo 30 de septiembre se celebra unasesión informativa onlinesobre el Máster de Ciberseguridad de IMMUNE de la mano del director de programa, Enrique Serrano. Podrás conectar directamente con la dirección académica del programa y resolver todas tus dudas.
Imágenes |iStock/nd3000,iStock/HStocks,iStock/Viktoriia Hnatiuk,iStock/Olivier Le Moal
