Unos concursos de ciber defensa y “captura de la bandera” ayudarán a entrenar a los futuros defensores del ciberespacio.
A finales de los años 50, sorprendidos por el lanzamiento ruso del Sputnik, los Estados Unidos se embarcaron en una iniciativa para aumentar el número de científicos e ingenieros. Hoy día, la industria privada, los centros académicos y las agencias gubernamentales han unido fuerzas para lograr un impulso similar, educando y entrenando a al menos 10.000 estudiantes para que se conviertan en los futuros defensores del ciberespacio.
El lunes, el Centro para Estudios Estratétigos e Internacionales, el Instituto SANS, el Departamento de Defensa de los Estados Unidos (DoD) y varios socios universitarios y privados tienen previsto anunciar el Ciber Reto de los Estados Unidos, un triatlón competitivo diseñado para inspirar a los estudiantes y que aprendan las habilidades técnicas necesarias para la defensa—y, en algunos casos, ataque—de las redes informáticas.
Alan Paller, director de investigación del Instituto SANS, una organización que educa y entrena a administradores de sistemas e ingenieros informáticos, afirma que de los centros de estudios no sale la cantidad suficiente de alumnos con conocimientos técnicos como para defender las redes más importantes. “Esta escasez es tan grave como la escasez de científicos de los años 50,” afirma Paller. “En la actualidad, en todo el país hay como 1.000 personas que podrían competir en una cibercompetición de alto nivel. En realidad necesitamos entre 20.000 y 30.000.”
El consorcio responsable del Ciber Reto de los Estados Unidos espera que las competiciones aumenten el interés en la administración práctica de redes y la seguridad informática. El objetivo es “entrenar y desarrollar trabajadores y hacer que la gente se interese por el análisis forense digital, y que trabajen para nosotros,” señala Jim Christy, director de exploración futura del Centro de Ciber Crímenes del Departamento de Defensa (DC3).
El Ciber Reto de los Estados Unidos une tres competiciones distintas bajo un mismo paraguas. En primer lugar está la Competición de Análisis Forense Digital del DC3, que hace que dos grupos compitan para solucionar una serie de puzzles con los que se suelen encontrar los expertos a la hora de investigar un crimen. Por ejemplo, los participantes deben analizar firmas de archivos, comprobar software sospechoso, desencriptar archivos sin la palabra clave, y analizar cabeceras de archivos a la búsqueda de información interesante. La competición se ha hecho muy popular: Casi 600 equipos se han registrado hasta ahora este año, en comparación con los 199 del año pasado. El DoD también está considerando ofrecer un enorme premio en efectivo, hasta un millón de dólares, para aumentar el interés en la solución de los problemas principales: aquellos retos para los que en la actualidad no existe solución, como por ejemplo la recuperación de datos de un disco duro gravemente dañado.
El segundo concurso consiste en una competición del tipo ‘capturar la bandera’, dirigida por el Instituto SANS y diseñada para estudiantes universitarios y estudiantes de instituto con altos rendimientos académicos. Conocida como NetWars, la competición se juega en una red privada virtual en internet, utilizando una imagen de sistema operativo hecha a medida y creada por un pequeño grupo que se encarga de dirigir el juego. Los equipos ganan puntos cada vez que atacan a las máquinas virtuales de los otros equipos y controlan ciertos servicios y archivos—como con las “banderas.”
“En principio se reduce mayormente a los ataques,” afirma Ed Skoudis, cofundador de la firma de seguridad InGuardians y consejero en materia de juegos para el Instituto SANS. El resultado es una simulación de ataques y defensas en el ciberespacio, afirma Skoudis. Los participantes intentan aprovecharse de las debilidades de los sistemas de sus rivales y se esfuerzan en defender sus propios sistemas frente a los otros atacantes.
Una tercera competición tiene como objetivo desarrollar conocimientos de defensa de redes en estudiantes de instituto. La Competición de Instituto CyberPatriot para la Ciber Defensa, que ya va por su segundo año, enseña a los estudiantes la dificultad de proteger las redes informáticas frente a los ataques. En el primer concurso, ocho equipos compitieron entre ellos. Este año, 226 escuelas se han apuntado, afirma Gregory White, profesor asociado con la Universidad de Texas en San Antonio, y director del Centro de Garantía y Seguridad de Infraestructuras de la universidad, que dirige el programa con la Asociación de la Fuerza Aérea.
A principios de esta semana, la Asociación para el Servicio Público y una serie de consultores en Booz Allen Hamilton emitieron un informe en el que se concluye que la falta de conocimientos sobre ciber seguridad en grupo de trabajadores federales hace que se den “grandes vulnerabilidades en potencia dentro de nuestra seguridad nacional.” Además, la administración de Obama, en la Revisión de la Política del Ciberespacio que fue emitida recientemente, advirtió que la falta de profesionales de ciberseguridad con buenos estudios en un problema de importancia nacional.
Al margen de financiar en potencia el reto de análisis forense, el gobierno federal no ha anunciado que vaya a financiar el Ciber Reto de los Estados Unidos. Sin embargo, compañías como Google y gobiernos estatales como el de Delaware ya han expresado su interés en formar parte del proyecto. “Si esperas a que sea un comité el que haga algo, vas a estar esperando un buen rato,” afirma White. “Los trabajadores del gobierno parecen estar interesados, pero eso no se ha traducido en ningún tipo de financiación.”