Ownership

CTF: entrenamiento en ciberseguridad

Capture the flag (CTF) es una forma entretenida de adentrarse y mantenerse en forma en el mundo de la ciberseguridad. Una serie de eventos y pruebas que desarrollan el lado más ‘hack3r’. Pero, ¿en qué consisten?

Todos tenemos en nuestra mente alguna que otra película o serie en la que una persona llamada ‘hacker’ accede a los sistemas más seguros del mundo, después de mal escribir tres líneas de código, hacer que salten varias ventanas emergentes y ver parpadear ‘access granted’ con unas enormes letras verdes. Ya sea el sistema de defensa aeroespacial o el router de un vecino, no es tan simple. Y es que llegar a ese nivel (sacando la ciencia ficción a un lado) cuesta mucho más trabajo de lo que imaginamos.

¿Cómo podemos ir progresando en el mundo hacking? No hay que engañarse. No existe una fórmula mágica ni un camino fácil que seguir. Para ser el mejor hay que practicar. Eso nadie lo pone en duda. Y para ser uno de los mejores en materia de ciberseguridad, un buen entrenamiento es “jugar” a CTF (Capture the flag). Tanto si una persona es novata, como si es experta.

CTF se definiría como un ciberdeporte que no se practica al aire libre. Entretenido, adictivo y, a veces, con una recompensa material. ¿Qué más se puede pedir? Atributos que hacen que día a día CTF vaya ganando más popularidad entre las personas que se adentran en el mundo de la ciberseguridad. “Son prácticas muy técnicas llevadas a cabo por empresas especializadas en hacking ético y por las que compiten de forma abierta, lo cual les puede aportar a sí mismos, la satisfacción de superar un reto tan grande, medirse a uno mismo y el prestigio de ganar una competición de este estilo”, ha destacado Rasha Aljelani jefa de equipo SecOps de BBVA IT España.

En CTF se pueden distinguir, cada una con sus reglas y características, las siguientes categorías:
● Análisis Forense [Forensics]. Lo más común: imágenes de memoria, de discos duros o capturas de red que almacenan diferentes tipos de información.
● Criptografía [Crypto].  Textos cifrados mediante un criptosistema determinado.
● Esteganografía [Stego]. Imágenes, sonidos o vídeos que ocultan información en su interior.
● Explotación [Pwn]. Descubrimiento de vulnerabilidades en un servidor.
● Ingeniería Inversa [Reversing]. Inferir en el funcionamiento del software. Lo más común: binarios de Windows y Linux.
● Programación [PPC]. También conocidos como PPC (Professional Programming & Coding). Desafíos en los que se requiere desarrollar un programa o un script que realice una determinada tarea.
● Web. Descubrimiento de vulnerabilidades en una aplicación Web.
● Reconocimiento [Recon]. Búsqueda de la bandera en distintos sitios de Internet.

Para resolverlo se ofrecen pistas, como el nombre de una persona o un lugar:
● Trivial [Trivia]. Diferentes preguntas relacionadas con la seguridad informática.
● Misceláneo [Misc]. Retos aleatorios que pueden pertenecer a distintas categorías sin especificar.

Generalmente hay dos modos de CTFs: Jeopardy​​, que trata de resolver una serie de retos para capturar una bandera; y Ataque-Defensa ​, que consiste en que cada equipo dispondrá de una red/servidor con servicios vulnerables que tendrán que parchear o hacer un ‘exploit’ según sea su turno. En algunos sitios, la mezcla de estos dos modos puede dar lugar a un tercero llamado Mixto​.

Los eventos de CTF

Dentro de estos entrenamientos, se organizan eventos en los que normalmente se participa por equipos. Cada miembro del equipo se reparte las tareas que mejor domina, dentro de cada categoría, para superar todas las pruebas con un mayor grado de efectividad y rapidez que el resto.

A veces, aunque es poco frecuente debido a la dificultad de las pruebas y el poco tiempo que tienen, puede darse equipos de un solo jugador. Aunque son casos excepcionales y muy raros ya que la mayoría de los equipos cuentan entre sus filas con miembros con mucha experiencia y buenas habilidades.

Para los más jóvenes, de entre 8 y 16 años, hay una modalidad de CTF especial para que puedan iniciarse en el mundo de la ciberseguridad informática. Un complemento ideal para que vayan aprendiendo y poniendo en práctica nuevos conceptos dentro del mundo hacker en cada evento.  

Todos los eventos de CTF se practican en entornos preparados a conciencia para ser atacados. Cuentan con una seguridad, tanto a nivel servidor como a nivel de aplicación web, bastante alta para que los “jugadores” puedan exprimir al máximo sus habilidades. Pero que nadie piense que CTF es un trampolín para conseguir hackear la red wifi del vecino o el Instagram de alguien conocido, sino que se trata de cómo aprender y mejorar sus habilidades.

Convertirse en un experto de seguridad informática es una opción más que interesante. Sin duda, es una de las más demandas por las empresas y una de las profesiones que más futuro tiene.