Capture the Flag ( CTF ) en seguridad informática es un ejercicio en el que los participantes intentan encontrar cadenas de texto, llamadas "banderas", que están secretamente ocultas en programas o sitios web deliberadamente vulnerables . Se pueden utilizar tanto con fines competitivos como educativos. En dos variaciones principales de CTF, los participantes roban banderas de otros participantes (CTF de estilo ataque/defensa) o de los organizadores (desafíos de estilo peligro). Una competición mixta combina estos dos estilos. [1] Las competencias pueden incluir ocultar banderas en dispositivos de hardware, pueden ser tanto en línea como en persona y pueden ser de nivel avanzado o básico. El juego está inspirado en el tradicional deporte al aire libre del mismo nombre .
Capture the Flag (CTF) es una competencia de ciberseguridad que se utiliza para probar y desarrollar habilidades de seguridad informática. Se desarrolló por primera vez en 1996 en DEF CON , la conferencia de ciberseguridad más grande de los Estados Unidos que se celebra anualmente en Las Vegas , Nevada. [2] La conferencia organiza un fin de semana de competiciones de ciberseguridad, incluido su emblemático CTF.
Dos formatos CTF populares son peligro y ataque-defensa. [3] Ambos formatos evalúan el conocimiento de los participantes en ciberseguridad, pero difieren en el objetivo. En el formato Jeopardy, los equipos participantes deben completar tantos desafíos de diferentes valores de puntos de varias categorías como criptografía, explotación web e ingeniería inversa. [4] En el formato de ataque-defensa, los equipos competidores deben defender sus sistemas informáticos vulnerables mientras atacan los sistemas de sus oponentes. [3]
El ejercicio implica una amplia gama de tareas, incluida la explotación y el descifrado de contraseñas, pero hay poca evidencia que demuestre cómo estas tareas se traducen en conocimientos de ciberseguridad que poseen los expertos en seguridad. Investigaciones recientes han demostrado que las tareas de Capturar la bandera cubrían principalmente conocimientos técnicos, pero carecían de temas sociales como ingeniería social y concienciación sobre ciberseguridad. [5]
Se ha demostrado que los CTF son una forma eficaz de mejorar la educación en ciberseguridad a través de la gamificación . [6] Hay muchos ejemplos de CTF diseñados para enseñar habilidades de ciberseguridad a una amplia variedad de audiencias, incluido PicoCTF, organizado por Carnegie Mellon CyLab , que está orientado a estudiantes de secundaria, y pwn.college, apoyado por la Universidad Estatal de Arizona . [7] [8] [9] Más allá de los eventos y recursos educativos de los CTF, se ha demostrado que los CTF son una forma muy eficaz de inculcar conceptos de ciberseguridad en el aula. [10] [11] Los CTF se han incluido en clases de pregrado en informática, como Introducción a la seguridad de la información en la Universidad Nacional de Singapur . [12] Los CTF también son populares en las academias militares. A menudo se incluyen como parte del plan de estudios de los cursos de ciberseguridad, y el ejercicio cibernético organizado por la NSA culmina en una competencia CTF entre las academias de servicio y las escuelas militares de EE. UU. [13]
Muchos organizadores del CTF registran su competición en la plataforma CTFtime. Esto permite el seguimiento de la posición de los equipos a lo largo del tiempo y entre competiciones. [14] Estos concursos pueden ser comunitarios, gubernamentales o corporativos. Desde que comenzó CTFtime en 2011, ha habido siete equipos que se han clasificado como el número 1 en la posición mundial [ ¿investigación original? ] . Estos incluyen "Parlamento a cuadros de Pwning", "Más pollo Leet ahumado", "Sector Dragón", "dcua", "Comer, dormir, Pwn, repetir", "azul perfecto" y "organizadores". En general, "Plaid Parliament of Pwning" y "Dragon Sector" ocuparon el primer lugar a nivel mundial con tres veces cada uno. [15]
Cada año hay docenas de CTF organizados en una variedad de formatos. Muchos CTF están asociados con conferencias sobre ciberseguridad como DEF CON, HITCON y BSides . El DEF CON CTF, un CTF de ataque-defensa, se destaca por ser una de las competiciones CTF más antiguas que existen, y se le ha denominado de diversas formas " Serie Mundial ", [16] " Superbowl ", [9] [17] y " Olimpiadas ", [18] de piratería por parte de medios de comunicación. El CTF de Cybersecurity Awareness Worldwide (CSAW) organizado por la Universidad de Nueva York en Tandon es uno de los mayores concursos de entrada abierta para estudiantes que aprenden ciberseguridad de todo el mundo. [4] En 2021, acogió a más de 1200 equipos durante la ronda de clasificación. [19]
Además de los CTF organizados por conferencias, muchos clubes y equipos de la CTF organizan competiciones de la CTF. [20] Muchos clubes y equipos de CTF están asociados con universidades, como el Plaid Parliament of Pwning, asociado a CMU, que alberga PlaidCTF, [4] y Shellphish, asociado a ASU . [21]
Las competiciones CTF respaldadas por el gobierno incluyen el DARPA Cyber Grand Challenge y el ENISA European Cybersecurity Challenge [22] . En 2023, la competencia Hack-a-Sat CTF patrocinada por la Fuerza Espacial de EE. UU. incluyó, por primera vez, un satélite orbital en vivo para que los participantes lo explotaran. [23]
Las corporaciones y otras organizaciones a veces utilizan los FFC como ejercicio de capacitación o evaluación. [ cita necesaria ] Los beneficios de los CTF son similares a los de su uso en un entorno educativo. [ cita necesaria ] Además de los ejercicios internos de CTF, algunas corporaciones como Google [24] y Tencent organizan competiciones de CTF de acceso público.
{{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite web}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace ){{citation}}
: CS1 maint: others (link)