Te contamos sobre el hacking deportivo
¿Cómo pueden los profesionales de la ciberseguridad obtener experiencia? ¡Jugando! Te contamos sobre el formato CTF (Capture the Flag), populares competiciones de ciberseguridad. Cómo se juega, qué tipo de tareas esperar y consejos de un participante.
¿Qué es Capture the Flag?
Capture the Flag (CTF) son competiciones de equipo en el campo de la seguridad informática. La principal tarea de los participantes es encontrar y capturar la “bandera” o las “banderas” del oponente. La bandera puede aparecer como una cadena o un fragmento de código, su hallazgo demuestra la ejecución exitosa de una determinada tarea.
La concepción de CTF tiene su origen en el popular juego de patio “Capturar la bandera“. En ella, los equipos o participantes capturan una bandera real del oponente: un pañuelo, un objeto pequeño o una bandera real. Gana quien lleve la bandera enemiga a su territorio.

La primera competición Capture the Flag de ciberseguridad se llevó a cabo en la conferencia DEF CON en 1996. Desde entonces, las competiciones CTF se han vuelto populares en todo el mundo y se han convertido de una forma de entretenimiento en una herramienta para la educación y la evaluación de las habilidades en el campo de la ciberseguridad.

Hoy en día, estas competiciones se llevan a cabo en todo el mundo en diferentes formatos: en persona, en línea o en una combinación de ambos. Incluso hay una clasificación general de equipos – todo es muy serio.
Cómo se Desarrollan las Competiciones Capture the Flag
Detalles organizativos
Las competiciones Capture the Flag (CTF) pueden desarrollarse en diferentes formatos, pero normalmente el proceso consiste en varias etapas: registro, etapa de selección (tareas que determinan la dirección y el nivel del participante), etapa de resolución de tareas (algunas competiciones se llevan a cabo en dos etapas, por ejemplo, online y en persona) y el recuento de puntos.
La duración de las competiciones Capture the Flag (CTF) puede variar en función del formato y la escala del evento.
- CTF de un día. Normalmente duran de 6 a 12 horas. Estas competiciones pueden llevarse a cabo tanto en formato presencial como en línea. Este es un formato común para eventos locales o regionales.
- CTF de varias horas. Estas competiciones pueden durar de 24 a 48 horas. A menudo se llevan a cabo durante el fin de semana para que los participantes puedan dedicar más tiempo a la resolución de tareas. Esto es típico de los eventos internacionales o de los grandes eventos online.
- CTF de una semana. Rara vez, pero se encuentran CTF que duran toda una semana. Esto es útil para los participantes que quieren tener más flexibilidad en la distribución de su tiempo para resolver las tareas.
- CTF de varias etapas. Algunas competiciones se llevan a cabo en varias etapas, cada una de las cuales dura varios días o semanas. Por ejemplo, la etapa de selección puede llevarse a cabo online durante una semana, y la final, en formato presencial y durar uno o dos días.
Defcon CTF, una de las competiciones CTF más prestigiosas del mundo, suele durar alrededor de tres días (72 horas). Google CTF incluye una etapa de selección de 48 horas y una final que dura varios días. Hack The Box CTF se lleva a cabo a menudo en un formato de fin de semana, con una duración de 24 a 48 horas.
Tipos de CTF y direcciones
Con el paso del tiempo, las competiciones Capture the Flag cambian, los organizadores buscan nuevas ideas para diferenciarse de las demás. Pero, en general, las competiciones CTF se llevan a cabo en dos formatos: Attack-Defense (también conocido como Classic) o Jeopardy (también conocido como Task-Based).
En el formato Attack-Defense, los participantes reciben los mismos servidores con un conjunto de vulnerabilidades. En estos servidores se almacena información: banderas (flags). La tarea de cada equipo es encontrar y eliminar los puntos débiles de su servidor y aprovechar las vulnerabilidades encontradas para obtener las banderas de los oponentes. Gana el equipo que haya conseguido el mayor número de banderas y tenga el menor número de vulnerabilidades en sus servidores.
En las competiciones Jeopardy, los participantes se les ofrece un conjunto de tareas de diversa dificultad. Por la resolución de cada tarea, el equipo o el participante recibe una determinada cantidad de puntos, que se suman al total. Los participantes pueden elegir qué tareas resolver y en qué orden. Normalmente, las tareas tienen un coste diferente en puntos, proporcional a su dificultad.
El primer equipo o participante que alcance una determinada cantidad de puntos o la primera posición en la clasificación general, obtiene la victoria.
Normalmente, las tareas se dividen en áreas, por ejemplo, los organizadores ofrecen tareas sobre seguridad en la web, aplicaciones móviles e infraestructura, criptografía, ingeniería inversa y la astucia de los hackers.
¿Qué Tipo de Tareas hay en las Competiciones Capture the Flag?
Las tareas de las competiciones Capture the Flag (CTF) pueden dividirse convencionalmente en varias áreas:
- Tareas criptográficas – descifrar mensajes, romper cifrados, crear tus propios sistemas criptográficos y analizar protocolos criptográficos.
- Búsqueda de vulnerabilidades – en productos de software, sitios web o redes. Explotación de vulnerabilidades, detección de inyecciones SQL, XSS y otros tipos de ataques.
- Ingeniería inversa – tareas que requieren el análisis de código binario, la descompilación de programas, la búsqueda de funciones ocultas y la recuperación del código fuente de archivos binarios.
- Forense, también conocida como criminalística digital – tareas relacionadas con el análisis de huellas digitales, la recuperación de datos eliminados, la identificación de usuarios a través de sus huellas digitales y el análisis de malware.
- Redes y seguridad – tareas que comprueban las habilidades de configuración y gestión de dispositivos de red, configuración de firewalls, detección y eliminación de ataques de red.
- Pentesting (prueba de penetración) – tareas que imitan ataques reales a sistemas de información, incluyendo el escaneo de puertos, la selección de contraseñas, la explotación de vulnerabilidades y el análisis del tráfico de red.
- OSINT (inteligencia de fuentes abiertas) – tareas que requieren la recopilación de información de fuentes abiertas para resolver la tarea. Por ejemplo, la determinación de direcciones IP, dominios, direcciones de correo electrónico y otra información.
Un punto destacado especial de las tareas de las competiciones CTF son sus formulaciones. La mayoría de las veces, las tareas están “envueltas” en una historia, por ejemplo:
“Un hombre asustado con un smartphone se acerca a ti: “He escrito un hilo en una red social, y se ha vuelto viral. A la mañana siguiente lo he vuelto a leer, casi me he muerto de vergüenza y lo he eliminado todo. Pero el hilo se ha guardado en un archivo en una página web. ¿Podemos eliminarlo de alguna manera? Mis hijos podrían encontrarlo y leerlo”.
En la barra de direcciones se ve: its-cringe-archive-997wqau.spbctf.es/archivo/dmzvwk9d75
Encuentra una forma de eliminar el archivo del sitio.
Detrás de una historia divertida se esconde una verdadera investigación de seguridad informática, durante la cual el equipo debe encontrar dos vulnerabilidades, utilizando las cuales podrá obtener el correo electrónico, el hash del usuario y la contraseña correspondiente a ese hash. Estos datos permitirán acceder al sitio web y eliminar el hilo. El equipo obtendrá la codiciada bandera y los puntos.
A las tareas pueden adjuntarse materiales adicionales: archivos fuente (por ejemplo, apk), enlaces u objetos interactivos.
En Internet hay muchas plataformas en las que se publican análisis de las tareas de las competiciones CTF anteriores y ejemplos de tareas similares. Muchos jugadores de CTF aconsejan estudiar los análisis y practicar lo más posible, hasta que la cantidad se convierta en calidad. Se pueden encontrar muchos enlaces útiles en la página web “ctftime“.
Confesiones de un Participante de CTF
“Mi primera experiencia en CTF me demostró que siempre hay tareas para las que no estás preparado. Más de la mitad de las tareas se resuelven como nueces, no siempre a la primera, a veces con un “martillo”, pero se resuelven. Y luego empiezan las tareas, cuyos temas no has estudiado o aún no has cursado. En este momento es donde empieza la competición.”
Siempre hay que buscar en Google todo lo que te cause dudas, a veces incluso trozos enteros de código. Muchas tareas tienen una lógica similar, por lo que en Internet puedes encontrar una solución similar y adaptarla a tu situación. Eso es lo que me gusta de CTF, que te vas con un montón de nuevos conocimientos.
También hay que tener en cuenta que en CTF no son máquinas reales, siempre hay una vulnerabilidad/solución, simplemente no siempre en los lugares habituales. La descripción de la tarea es la pista más importante, hay que tratarla como un enigma.
Siempre mira el WriteUp, incluso si ya has resuelto la tarea, normalmente las soluciones pueden ser diferentes, a veces incluso radicalmente. También te recomiendo que veas vídeos de competiciones anteriores. No es seguro que encuentres una solución, pero puedes inspirarte. Yo lo hago cuando me quedo atascado en una solución. Por ejemplo, veo una vulnerabilidad relacionada con SQL y no puedo resolverla, ya he visitado el sitio CTFtime, pero la información no me sirve de mucho, entonces busco en un sitio de vídeos un análisis de las tareas de SQL de cuatro horas y lo veo.
Mis consejos a los participantes de CTF: buscar en Google, beber mucha agua, no olvidarse de comer, levantarse y caminar de vez en cuando. Si te quedas atascado, cambia a otra tarea. Si eso tampoco funciona, tienes que distraerte al menos durante 15-20 minutos (pero si te queda poco tiempo para que termine el CTF, entonces tienes que activar el modo “berserker“).
¿Por qué Participar en Capture the Flag?
Estas competiciones son una excelente oportunidad para practicar la resolución de tareas relacionadas con la piratería informática (hacking) y la protección de los sistemas informáticos, obtener habilidades prácticas y conocimientos en el campo de la seguridad informática. Normalmente, los especialistas participan en CTF por varias razones:
- Experiencia práctica. Participar en CTF ofrece una oportunidad única de practicar en entornos reales o simulados. Esto permite a los especialistas desarrollar habilidades en el campo de la búsqueda y explotación de vulnerabilidades, así como en el campo de la protección de los sistemas de información.
- Desarrollo de la creatividad y las habilidades analíticas. En el proceso de resolución de tareas CTF, los participantes a menudo se enfrentan a escenarios y requisitos no estándar. Esto contribuye al desarrollo del pensamiento creativo y la capacidad de encontrar soluciones no convencionales a los problemas.
- Trabajo en equipo y trabajo en equipo. Muchos CTF se llevan a cabo en formato de equipo, donde los participantes deben colaborar e intercambiar conocimientos y experiencia. Esto contribuye al desarrollo de las habilidades de trabajo en equipo y la comunicación eficaz.
- Preparación para situaciones reales. Las tareas CTF a menudo modelan escenarios reales de ataque y defensa. Participar en competiciones ayuda a los especialistas a comprender mejor las tácticas de los atacantes y a desarrollar estrategias de defensa.
- Mejora del nivel profesional. La participación exitosa en CTF y la obtención de buenos resultados puede servir como una prueba adicional de la competencia en el campo de la ciberseguridad. Esto puede ser útil para encontrar trabajo o ascender en la carrera profesional.
Material Sobre CTF
- Seguridad Web
— sobre vulnerabilidades en sitios web y aplicaciones web
Teoría y trabajos de laboratorio de BurpSuite Academy: portswigger.net/web-security
Gran colección de técnicas de pentesting útiles: book.hacktricks.xyz
- Criptografía
— sobre el cifrado de datos y las debilidades de los algoritmos criptográficos
Tareas simples de criptografía: cryptopals.com o cryptohack.org, así como el manual cryptohack.gitbook.io/cryptobook
Curso en inglés de Dan Boneh: coursera.org/learn/crypto
- Forense
— sobre formatos de archivos y datos, imágenes de memoria y discos, análisis de pruebas
CTF HandBook: ctf101.org
- Reversing
— desentrañar programas compilados, analizar algoritmos
Libro de Denis Yurichev: beginners.re
- Explotación binaria (Pwn)
— sobre cómo, a través de errores en programas compilados, hacer que hagan lo que sea. Para dominar pwn, primero debes saber revertir.
Curso detallado “Nightmare” sobre pwn: guyinatuxedo.github.io
Wargames recientes, pero debes ejecutarlos localmente: exploit.education
Wargames antiguos en Pwn: io.netgarage.org, overthewire.org/wargames/vortex
- Más práctica
Plataforma Root Me con una gran cantidad de tareas: root-me.org
Pequeña CTF, si quieres una mezcla: 30.ctf.su/tasks (diversidad de dificultad)
Wargames para diferentes categorías: https://overthewire.org/wargames.
Excelente CTF de nivel inicial del equipo estadounidense Plaid Parliament of Pwning: picoctf.com. Es buena por sus tareas instructivas y lógicas. Las tareas de años anteriores se recopilan en la sección picoGym: play.picoctf.org
¿Quieres más? TOP Sitios Web Vulnerables para Pruebas de Penetración (Pentesting)
En Resumen Sobre qué es CTF
CTF en seguridad informática, o Capture the Flag, son competiciones de equipo en el campo de la seguridad informática. La principal tarea de los participantes es encontrar y capturar la “bandera” o las “banderas” del oponente.
Normalmente, las competiciones CTF se llevan a cabo en dos formatos: Attack-Defense (también conocido como Classic) o Jeopardy (también conocido como Task-Based).
Las competiciones CTF son una excelente oportunidad para practicar la resolución de tareas relacionadas con la piratería informática y la protección de los sistemas informáticos, obtener habilidades prácticas y conocimientos en el campo de la seguridad informática.
¿Qué Sigue?
Lo antes posible, deja de solo aprender y empieza a aplicar las habilidades en la práctica:
Participa en todas las CTFs. En ctftime.org se recopilan las competiciones por equipos de todo el mundo, cada fin de semana puedes encontrar en qué participar. Es jugando CTF en modo competitivo que desarrollas tus habilidades más rápido.
Lee los write-ups. Después de la competición, los equipos publican en su blog o en GitHub el paso a paso de las tareas interesantes. Lee estos write-ups, especialmente de las tareas que te interesaron, pero no pudiste terminar durante el juego. Los equipos adjuntan los write-ups a la página de la CTF en ctftime.org.