Sean todos bienvenidos una vez más a Código Seguro. En el día de hoy estimados lectores, les hablaré acerca del papel que tienen una de las competiciones más interesantes y asombrosas que existen. Pues sí escuchó bien, hoy no les traigo una nueva amenaza que nos pone en peligro al navegar por la red de redes. Se impone también, en este espacio reservado de cada miércoles, hablar un poquito acerca de aquellos que cada día con su labor se dedican a investigar sobre cómo protegernos.
En el mundo digital de hoy, donde la seguridad informática es más crucial que nunca, existe una arena donde los aspirantes a profesionales en el campo de la ciberseguridad ponen a prueba sus habilidades: los afamados CTF, o Capture The Flag. Estas competiciones de ciberseguridad, que toman su nombre de los juegos infantiles de capturar la bandera del equipo contrario, son mucho más que un simple juego. En este contexto, la idea se transformó en un formato de competición donde los “atacantes” intentan capturar “banderas” digitales, que son secretos ocultos en diversos sistemas protegidos.
Los CTF se han convertido en eventos esenciales para el desarrollo y la demostración de habilidades en el campo de la ciberseguridad. En estos eventos, los participantes enfrentan desafíos que simulan escenarios de ataque y defensa en el ciberespacio, desde descifrar códigos hasta explotar vulnerabilidades de software. Sin dudas, son el teatro de operaciones perfecto para los nuestros nuevos “guerreros” en la era de la información.
Los primeros CTF surgieron en la década de 1990 como una forma de practicar habilidades de seguridad informática en un entorno competitivo y educativo. Uno de los primeros y más influyentes fue el CTF de la conferencia DEF CON, que comenzó en el año 1996 en los Estados Unidos, y el cual sigue siendo uno de los eventos más conocido en esta área. No obstante, inmediatamente después la idea se difuminó por varias instituciones académicas y empresariales del mundo, hasta nuestros días que no se concibe formar especialistas del sector sin tener relación alguna con estas competiciones.
Generalmente un equipo (o un solo jugador) resuelve problemas relacionados con la ciberseguridad, y si su respuesta (también denominada a menudo bandera o solución) al problema es correcta, se le recompensa con puntos. El objetivo es conseguir más puntos que los demás participantes, lo que contribuye a mantener vivo un ambiente retador y competitivo. Los participantes deben siempre resolver ejercicios desafiantes de diferentes categorías (por ejemplo, de seguridad de redes, de seguridad en aplicaciones, de seguridad en dispositivos móviles, entre otras). Normalmente, el objetivo es encontrar una bandera, es decir, la solución al problema dado (que a menudo se resuelve a través de múltiples pasos o tareas dentro de un ejercicio). Una bandera puede ser, por ejemplo, una cadena de caracteres con el formato flag{algúntexto}, pero también una imagen u otro elemento definido por los diseñadores de la propia competencia.
Por otra parte, las habilidades técnicas y de resolución de problemas necesarias para participar en estas competencias son diversas y dependen del tipo de desafíos presentados. Una lista resumida de las habilidades clave pudieran ser:
- Criptografía: Conocimientos sobre cifrado y descifrado de información, así como la seguridad de los protocolos criptográficos.
- Seguridad Web: Entender las vulnerabilidades comunes en aplicaciones web y cómo protegerse contra ataques.
- Ingeniería Reversa: Analizar y entender el funcionamiento interno de software y sistemas sin tener acceso al código fuente.
- Explotación: Habilidad para identificar y explotar vulnerabilidades en sistemas y aplicaciones para obtener acceso no autorizado.
- Análisis Forense: Capacidad para investigar y analizar datos digitales para descubrir qué sucedió en un sistema informático.
- OSINT: Uso de fuentes de información abiertas para recopilar datos que pueden ser útiles en el contexto de seguridad informática.
Estas competiciones suelen organizarse en entornos virtuales, configurados específicamente para cumplir los objetivos y escenarios de la CTF. Estas plataformas se utilizan normalmente como entornos similares a juegos en los que los participantes pueden practicar habilidades, destrezas y conocimientos de seguridad informática. CTF Time es una de estas plataformas, incluso es de las más conocidas por la comunidad que se dedica a estas competiciones. Funciona como un recurso centralizado para todo lo relacionado con las mismas, incluyendo el calendario actualizado de eventos, rankings de los equipos, un repositorio histórico de los desafíos, y toda una comunidad en general. Es una herramienta esencial para cualquier persona interesada, ya sea para competir, aprender o simplemente para mantenerse informado sobre las últimas tendencias y eventos en el mundo de la ciberseguridad.
Existen otras por supuesto las más notables: PicoCTF, Root Me, FacebookCTF, WrathCTF, Pedagogic CTF. Todas en general ofrecen funciones básicas para organizar eventos sencillos, entre las que se encuentran: el registro de nuevos participantes, proporcionar un conjunto de retos, comunicar instrucciones y gestionar un sistema de puntuación subyacente para asignar puntos que posicionan en el ranking a los diferentes equipos que participan, etc. Las diferencias radican en las extensiones de estas funciones, es decir, en las realizaciones concretas del tipo de registro que se admite, qué opciones se tienen al configurar un reto, cómo se comunican los usuarios de la plataforma y otras cuestiones específicas que pudieran presentar.
Varios autores de la literatura científica resumen los principales tipos de CTF como los siguientes:
- Cuestionario: Suele consistir en un par de preguntas-respuestas del ámbito de la seguridad informática o de ámbitos relacionados con esta área del conocimiento.
- Jeopardy: Es una secuencia de retos o tareas que requieren conocimientos y habilidades de redes informáticas por parte de los participantes, y el objetivo es resolver estas tareas para llegar a la bandera.
- Ataque-defensa: Soporta el hacking ofensivo y defensivo entre equipos.
- Mixtos: Son típicamente una combinación de Jeopardy y los CTF de ataque-defensa.
- Rey de la colina: El objetivo principal es capturar un sistema objetivo y mantenerlo bajo control el mayor tiempo posible. Un desafío del rey de la colina se caracteriza por un sistema vulnerable que hay que capturar. Es una forma de prueba de penetración, la cual consiste en la simulación de un ataque a un sistema, red, pieza de equipo u otra instalación, con el objetivo de probar cuán vulnerable sería ese sistema u objetivo ante un ataque real.
Participar en un CTF no solo es emocionante, sino también enormemente educativo. Los participantes aprenden a pensar como atacantes, una habilidad invaluable para cualquier profesional de la seguridad que quiera proteger eficazmente su red. Además, fomentan el trabajo en equipo y la resolución de problemas bajo presión, habilidades esenciales en cualquier entorno laboral. En resumen, son importantes por varias razones:
- Educación y entrenamiento: Permiten a estudiantes y profesionales desarrollar y mejorar sus habilidades en un entorno práctico y realista.
- Reclutamiento y talento: Son una plataforma para que las empresas identifiquen y recluten talentos en el campo de la seguridad informática.
- Investigación y desarrollo: Fomentan la innovación y la investigación en nuevas técnicas y herramientas de seguridad.
- Conciencia y colaboración: Crean conciencia sobre la importancia de la seguridad informática y promueven la colaboración entre los profesionales del sector.
Como siempre hacemos para aquellos interesados en sumergirse en este mundo, aquí hay algunos consejos que consideramos elementales:
- Comience con lo básico: Asegúrese de tener una comprensión sólida de los fundamentos de la informática y la programación.
- Practique con retos en línea: Hay muchos sitios web que ofrecen desafíos de CTF para practicar.
- Únase a la comunidad: Busque grupos y foros en línea donde pueda aprender de otros y compartir conocimientos.
Los CTF no son solo juegos; son una forma de vida para muchos en el campo de la ciberseguridad. A través de la competencia, la colaboración y la creatividad, los participantes siempre estarán a la vanguardia de la defensa de nuestras redes, preparándose para enfrentar las amenazas del mañana. Añadir que en Cubaempezamos a tener experiencias en este sentido. Recientemente siete equipos formados por estudiantes y especialistas de la Universidad de las Ciencias Informáticas participaron en un CTF organizado por la Universidad de Sevilla que se desarrolló como parte de las Jornadas Nacionales de Investigación en Ciberseguridad de España, lo cual contribuyó de forma positiva en su formación como futuros profesionales. Por hoy es todo lo que les tenía preparado. Hasta la próxima semana.
(Información de Cubadebate)