Los pasados 15 y 16 de octubre se llevó a cabo de forma virtual la final de la quinta edición del concurso HackDef, patrocinado por la empresa de servicios de ciberseguridad Metabase Q, resultando ganador el equipo Bichos, integrado por Servando Miguel López, Rafael Vallejo, Jesús Enrique Pacheco y Edgar Hernández, egresados de Ingeniería en Computación FI-UNAM (generación 2015), y becarios del Programa UNAM-CERT.

En HackDef, competencia interuniversitaria nacional de hackeo estilo Capture the Flag o CTF, los equipos deben resolver desafíos para capturar el mayor número de banderas (mensajes de texto) que les da la puntuación del reto analizado y que envían al sistema de rankeo para el registro.

En la ronda eliminatoria de agosto participaron 56 representativos del IPN, Tec de Monterrey, UNAM y las universidades Autónoma de Coahuila, Nuevo León (UANL) y Zacatecas (UAZ), entre otros, sólo diez pasaron a la final. La competencia simuló un ambiente real de fallo operativo de una empresa; los universitarios tenían que obtener la ubicación exacta de los cibercriminales que propagaron un ransomware (programa malicioso que cifra los archivos y exige un rescate a las víctimas) y resolver retos en materia de ingeniería inversa, seguridad web, criptografía y explotación binaria, y así atacar y recuperar los archivos secuestrados.

La experiencia de Bichos en el HackDef inició en 2019, quedando en la séptima posición; en 2020 logró un segundo puesto con una diferencia de puntos avasallante con el ganador. Por ello, en la edición 2021, los auriazules sacaron la casta y arrasaron al obtener el mayor puntaje (2 140) y resolver nueve de los diez retos impuestos. DarkSide (UANL) y DoomHack (UAZ), segundo y tercer lugar resolvieron siete retos y consiguieron 1 420 puntos cada uno (el desempate lo definió el menor tiempo).

"En esta ocasión clasificamos con mejores resultados y ganamos debido a la experiencia adquirida, pues conocer categorías, tipos de reto y herramientas da ventaja; por ejemplo, previmos un equipo aislado para descargar un ransomware, que requiere de por lo menos tres o cuatro horas, ya que hacerlo en nuestra computadora podría cifrar los archivos", explicaron Servando y Jesús.

Edgar y Rafael coincidieron en señalar que este triunfo se alcanzó gracias a su fuerte vínculo de amistad que optimizó el trabajo en equipo y, por ende, su desempeño para conjuntar conocimientos de diferentes temas en la solución de los desafíos; incluso, tras la clasificación resolvieron retos CTF en internet para mejorar sus tiempos y adquirir más experiencia.

Bichos detalló el paso a paso de su triunfo dentro de la contienda que inició con el reto Phishing, un archivo con formato DOC que usaba una macro (comandos para automatizar tareas) y ejecutaba acciones maliciosas en el equipo que lo abría. "Al ver las funciones de la macro desofuscamos los comandos que se ejecutaban cuando se abría el documento y obtuvimos la primera bandera que nos ubicó en la tercera posición".

En el reto RAT Malware, dentro de las funciones contenidas en las macros consiguieron un enlace para descargar un archivo malicioso ejecutable, que más tarde utilizarían con otros archivos adicionales que desbloquearon en Panel de Control, cuyos host y el puerto eran un panel de autenticación vulnerable a inyección SQL, pudieron generar una consulta real y acceder sin credenciales válidas al explotar la vulnerabilidad con el payload correcto (instrucción que se quiere ejecutar), además, se desplegó una lista de países comprometidos con un ransomware: en México había un enlace descargable que tuvieron que analizar y con ello avanzaron en la competencia y resolvieron los demás retos.

Bichos logró mantener el liderato desde el segundo al séptimo reto (RAT Malware, Panel de Control, Ransomware, Decryp0r, APT 57170 Router y APT 57170 Router), y ser el único que resolvió el ocho y el nueve (APT Ultra Secret Laptop y Cracking the Audio): "En el décimo desafío nuestro mayor enemigo fue el tiempo, quizá con 30 minutos más lo hubiésemos completado, aun así, estamos contentos por nuestro avance extraordinario, superamos a las otras universidades con una amplia ventaja de puntos y retos finalizados", expresaron.

Servando, Jesús, Rafael y Edgar destacaron que este concurso los enfrentó a retos complejos, ya que no se permiten soluciones automatizadas, sólo herramientas de apoyo: "Dado que las tecnologías surgen y cambian continuamente, los desafíos tienen distintos enfoques y formas de atacarlos; en este concurso unimos un rompecabezas para encontrar la respuesta completa, e investigamos, algo que hacemos muy bien, pues la FI y UNAM-CERT nos dieron las bases durante nuestra formación para seguir aprendiendo, actualizarnos y ser autodidactas, esto se vio reflejado en el triunfo", aseveraron.

El conjunto puma invitó a los estudiantes interesados en ciberseguridad a participar en este tipo de concursos que sirven como espacios de aprendizaje y escaparates para que los más sobresalientes se den a conocer con las empresas patrocinadoras que buscan a los mejores. "Al principio es difícil, pero no imposible, nuestra preparación nos permite asimilar más conocimientos y habilidades, y cosechar buenos resultados".

Cabe destacar que Bichos ya no podrá competir en este concurso; no obstante, sus integrantes recibieron la invitación de Eduardo Regalado, creador de HackDef, para que colaboren en su equipo desarrollando nuevos retos.