El concurso de hacking ético de China que terminó en un ciberataque real
En el marco de un concurso de hacking ético celebrado en China a finales del año pasado, los participantes tuvieron la oportunidad de trabajar en una red real, lo que ha generado serias preocupaciones entre los investigadores. Las condiciones inusuales y el secreto que rodearon a la Zhujian Cup han llevado a sospechas de que los estudiantes podrían haber estado involucrados en una operación de inteligencia real.
Normalmente, las competiciones de hackers, como “Capture the Flag” (CTF), se llevan a cabo en redes cerradas y seguras, especialmente diseñadas para ataques controlados. Sin embargo, el concurso Zhujian Cup, organizado por la Universidad Politécnica del Noroeste en Xi’an, no mencionó ninguna de las empresas responsables de crear tales redes, lo que ha generado dudas sobre la naturaleza simulada de la competencia.
Los participantes del concurso firmaron un documento que les obligaba a mantener en secreto las tareas, no destruir los objetivos y borrar las huellas de sus acciones al finalizar. Este nivel de confidencialidad y responsabilidad es extremadamente inusual para este tipo de competiciones y sugiere que los hackers podrían haber estado trabajando con una red real. En caso de filtración de datos, los estudiantes habrían sido legalmente responsables, lo cual también es muy poco común.
Investigadores de universidades occidentales que estudiaron este concurso encontraron muchos detalles sospechosos. Uno de ellos fue el requisito de eliminar las puertas traseras instaladas en los sistemas atacados. Normalmente, en competiciones similares no se requieren tales medidas, ya que todo ocurre en un entorno virtual. Sin embargo, en el caso de la Zhujian Cup, parece que los estudiantes podrían haber penetrado en redes reales.
El concurso se llevó a cabo a finales de diciembre del año pasado, durante las vacaciones, cuando muchas empresas trabajaban con horarios reducidos, lo que las hacía menos protegidas contra los ciberataques. Más de 200 estudiantes participaron en las tres etapas del concurso, incluyendo una parte teórica, búsqueda de vulnerabilidades y un “objetivo público”. Fue precisamente esta última etapa la que llamó la atención de los investigadores como potencialmente relacionada con una red real.
Los autores del estudio, publicado en Atlantic Council, reconocen que no tienen pruebas directas de que los estudiantes atacaran redes reales. Sin embargo, en su opinión, la probabilidad de que esto ocurriera es de alrededor del 85%, ya que no encontraron otras explicaciones para las extrañas condiciones del concurso.
Las competiciones cibernéticas en China se han convertido en una herramienta importante para el desarrollo del talento nacional desde 2015, cuando se conocieron los ciberataques a gran escala llevados a cabo por Estados Unidos. Desde entonces, China ha estado desarrollando activamente concursos CTF internos para atraer talentos y mejorar la ciberseguridad nacional.
Este evento plantea serias cuestiones sobre la ética y la seguridad en el ámbito de la ciberseguridad, y subraya la necesidad de una mayor transparencia y regulación en este tipo de competiciones.