Columnas de opinión

Capturar la bandera: Conectando puentes entre el hacking y la ciberseguridad

noviembre 7, 2023
Aprender habilidades es una de las cosas más esenciales para progresar en una carrera, especialmente en el ámbito de la ciberseguridad, donde surgen numerosos y complejos desafíos todo el tiempo.

Una buena estrategia para mantenerse actualizados entre los especialistas con un perfil técnico es participar en los certámenes de CTF (Capture the Flag o captura la bandera), los  que no solo permiten practicar y conocer el uso de nuevas herramientas o sus más recientes innovaciones, sino que informa y facilita la comprensión de nuevas tendencias, técnicas y desarrollos tecnológicos, además de ser una instancia de encuentro con otros especialistas del área y, fuera de todo eso, tienen el particular incentivo de ser entretenido para quienes lo entienden y practican.

Un CTF es, en términos simples, una competencia con una serie de ejercicios en los que se debe encontrar un archivo o información oculta -”la bandera”- en algún lugar del entorno de destino. Este tipo de torneos es cada vez más popular en Chile y el mundo, algunos de ellos patrocinados por el Gobierno, el Congreso, la PDI y, por cierto, entidades privadas. Uno de los CTF más antiguos y prestigiosos es el que se desarrolla en la DEFCON, reconocida como la conferencia de ciberseguridad más importante del mundo y que se desarrolla anualmente en los Estados Unidos, y cuyo primer CTF data de 1996.

Por lo general, los CTF tienen dos grandes variantes, existiendo competencias tipo Jeopardy, en el que los participantes deben resolver una serie de desafíos relacionados con la seguridad de aplicativos web, el análisis forense digital, la ingeniería inversa, la criptografía o la esteganografía, entre otros. La otra gran rama de competencias de CTF se denomina “ataque-defensa” y en ella se pone énfasis en las capacidades de los participantes para defender una máquina virtual o red que tiene vulnerabilidades, las que deben reparar, pero a la vez, deben encontrar las vulnerabilidades de los otros equipos para explotarlas.

En ambos casos, este tipo de competencias responde a fenómenos cotidianos con los que las organizacione se encuentran y, por lo mismo, los CTF se están consolidando como una importante contribución al ecosistema de la ciberseguridad porque conectan el lado más técnico del hacking con escenarios disruptivos propios de un ciberincidente.

Las simulaciones de situaciones de seguridad cibernética permiten, entre otras cosas, evaluar la preparación y las capacidades de individuos y de los equipos que conforman frente a la respuesta de incidentes. En ese sentido, los CTF no solo tienen una finalidad de competencia, sino de aprendizaje que ayuda a desarrollar habilidades prácticas entre los participantes con el beneficio que se realizan en entornos controlados, libres de riesgos reales, pero utilizando herramientas y técnicas que, a veces, no conocen.

Pero quizás, la mayor contribución, es que permite a los especialistas trabajar en equipo para abordar desafíos complejos, lo que puede ser muy cercano a enfrentar eventualmente un incidente de ciberseguridad, con la ventaja de que, antes de que se presente ese escenario, están perfeccionando sus habilidades de resolución de problemas, mejorando su pensamiento analítico y desarrollando una comprensión más acabada en una serie de conceptos de ciberseguridad.

Este tipo de competencias no solo es útil para las organizaciones, sino que se ha convertido en un trampolín para las carreras profesionales de muchos jóvenes que se entusiasman en la ciberseguridad una vez que participan de este tipo de certámenes. La OEA, de hecho, realiza un CTF especial, solo para mujeres, conocido como el CyberWomen Challenge, con el objetivo de incentivar a más mujeres a contribuir en la ciberseguridad y ayudar a cerrar la brecha de género en este campo.

Hace unos días atrás, el equipo de especialistas de NIVEL4 logró obtener el primer lugar en el CTF organizado en el contexto de la conferencia de ciberseguridad Ekoparty 2023, que anualmente se realiza en Buenos Aires, algo de lo que nos sentimos orgullosos, por cierto.

Una de las estadísticas más interesantes que entregaron los organizadores, fue que de los 1.200 equipos que participaron, un poco más de la mitad resolvieron, al menos, un desafío de los 52 planteados en la competencia, y quizás lo más destacado, fue que entre todos los participantes, fueron resueltos 2.500 desafíos.

Hay que ver con optimismo esos números, porque cada bandera “capturada” en eventos como este son avances concretos e importantes para la ciberseguridad. Es por eso que debemos destacar que se estén realizando y fomentar que más organizaciones privadas y públicas los organicen o patrocinen, porque hoy son una de las mejores escuelas de formación profesional y catalizadores del cambio cultural con que cuenta la ciberseguridad.

La ciberseguridad y el hacking van de la mano, y mientras más sólido sea el puente que construyamos, más seguros serán los entornos en los que nos desarrollemos.

ctfopinión

Comparte este Artículo

Artículos relacionados