“Shall we play a game?” — Gamificando la curiosidad

Transcript

1. Javier Marcos @javutin @jmpsec Shall we play a game? Gamificando

   la Curiosidad

2. 2 @javutin / @jmpsec $ whoami Staff Security Engineer

3. 3 @javutin / @jmpsec $ whoami Staff Security Engineer

4. 4 @javutin / @jmpsec Facebook (2011-2016) Uber (2016-2018) Airbnb (2018-2019)

   BitMEX (2019-2021) IBM (2007-2011) Siemens (2006-2007) JMP Security (2021-now) $ history | sort -t

5. 5 @javutin / @jmpsec Facebook (2011-2016) Uber (2016-2018) Airbnb (2018-2019)

   BitMEX (2019-2021) IBM (2007-2011) Siemens (2006-2007) JMP Security (2021-now) $ history | sort -t

6. 6 @javutin / @jmpsec El Problema Recurrente

7. 7 @javutin / @jmpsec

8. 8 @javutin / @jmpsec

9. 9 @javutin / @jmpsec

10. 10 @javutin / @jmpsec

11. 11 @javutin / @jmpsec

12. 12 @javutin / @jmpsec

13. 13 @javutin / @jmpsec

14. 14 @javutin / @jmpsec En Resumen ▪ La escasez de

    profesionales en ciberseguridad no es un problema local. ⇢ Es un desafío global que sigue creciendo. ▪ Resolverlo no depende solo de contratar más rápido. ⇢ Requiere repensar cómo descubrimos talento ▪ Si la brecha sigue ampliándose, las organizaciones quedarán cada vez más expuestas.

15. 15 @javutin / @jmpsec

16. 16 @javutin / @jmpsec WarGames (1983)

17. 17 @javutin / @jmpsec Gamificación ⇢ “La gamificación es la

    aplicación de mecánicas y dinámicas propias de los juegos en contextos no lúdicos para fomentar el aprendizaje, la motivación y el cambio de comportamiento.”

18. 18 @javutin / @jmpsec Gamificación ▪ No se trata de

    jugar. ▪ Se trata de diseñar experiencias que motivan.

19. 19 @javutin / @jmpsec Gamificación ▪ Retos claros ▪ Progresión

    visible ▪ Feedback inmediato ▪ Sistema de recompensas ▪ Iteración y mejora continua

20. 20 @javutin / @jmpsec ▪ Gamificación aplicada en Ciberseguridad ▪

    Entorno competitivo donde los participantes deben resolver retos técnicos reales de seguridad para encontrar “flags” ocultas en sistemas vulnerables ▪ Un CTF no pregunta qué sabes ⇢ Te obliga a descubrir lo que puedes aprender Capture The Flag (CTF)

21. 21 @javutin / @jmpsec ▪ Retos estructurados por niveles ▪

    Puntuación y ranking ▪ Tiempo limitado ▪ Progresión y dificultad creciente ▪ Feedback inmediato (flag correcta / incorrecta) Capture The Flag (CTF)

22. 22 @javutin / @jmpsec Capture The Flag (CTF) ▪ Pensamiento

    lateral ▪ Análisis técnico ▪ Resiliencia ante el fallo ▪ Trabajo bajo presión ▪ Curiosidad aplicada

23. 23 @javutin / @jmpsec Tipos de CTFs ▪ Jeopardy Style

    / Quiz ⇢ Formato más común ⇢ Retos independientes por categorías ⇢ Cada reto vale una puntuación ⇢ Gana quien acumula más puntos ⇢ Categorías típicas: Web, reversing, crypto, forensics

24. 24 @javutin / @jmpsec Tipos de CTFs ▪ Attack &

    Defense ⇢ Simulación más realista ⇢ Mismo servicios explotables para todos ⇢ Defensa de servicios propios y se atacan los demás ⇢ Puntuación por disponibilidad + explotación ⇢ Entrena mentalidad ofensiva y defensiva al mismo tiempo

25. 25 @javutin / @jmpsec Tipos de CTFs ▪ Attack &

    Defense ⇢ Simulación más realista ⇢ Mismo servicios explotables para todos ⇢ Defensa de servicios propios y se atacan los demás ⇢ Puntuación por disponibilidad + explotación ⇢ Entrena mentalidad ofensiva y defensiva al mismo tiempo

26. 26 @javutin / @jmpsec Tipos de CTFs ▪ King of

    the Hill (KoTH) ⇢ Control continuo de un sistema ⇢ Servicio único vulnerable para todos ⇢ Gana quien mantiene el acceso más tiempo ⇢ Enfocado en persistencia y rapidez

27. 27 @javutin / @jmpsec Tipos de CTFs ▪ Mixed /

    Hybrid ⇢ Combinación de formatos ⇢ Escenarios narrativos ⇢ Simulaciones tipo “mini SOC” ⇢ Más cercano a entornos reales

28. 28 @javutin / @jmpsec Mi experiencia con CTFs ▪ Empecé

    hace > 20 años! ⇢ Boinas Negras ⇢ iZhal ⇢ DEFCON prequals (👋 int3pids) ⇢ OWASP AppSec EU, US… ⇢ Diferentes eventos online y presenciales ⇢ Hasta hoy! Seguir participando en CTFs no es competir por puntos, es entrenar la curiosidad, la resiliencia y la capacidad de resolver problemas reales bajo presión

29. 29 @javutin / @jmpsec Hummm…

30. 30 @javutin / @jmpsec Talento en CTFs ▪ Si los

    CTFs revelan talento real… ¿por qué no usarlos para descubrirlo? ⇢ Pensamiento lateral ⇢ Análisis técnico ⇢ Resiliencia ante el fallo ⇢ Trabajo bajo presión ⇢ Curiosidad aplicada

31. 31 @javutin / @jmpsec IBM WarGames (2009-2010)

32. 32 @javutin / @jmpsec IBM WarGames ▪ Aplicación web standard

    en ~2009: LAMP ⇢ Linux ⇢ Apache web server ⇢ MySQL DB ⇢ PHP ⇢ HTML + JS + CSS ⇢ Autenticación con LDAP interno ▪ Tipo de CTFs: Jeopardy / Quiz

33. 33 @javutin / @jmpsec Facebook CTF v1 (2013-2016)

34. 34 @javutin / @jmpsec Facebook CTF v1 ▪ Comenzó como

    “side project” y experimentar: ⇢ Linux ⇢ Apache web server ⇢ MySQL DB ⇢ PHP + NodeJS ▫ HTML + JS + CSS ▫ WebSockets! ▪ Tipo de CTFs: Jeopardy / Quiz + King of the Hill

35. 35 @javutin / @jmpsec fbctf (2016-2020)

36. 36 @javutin / @jmpsec fbctf ▪ Proyecto escrito desde cero

    y nuevo diseño pero mismo concepto: ⇢ Linux ⇢ nginx ⇢ MySQL DB + Memcached ⇢ Hack (PHP para HHVM) ▫ HTML + JS + CSS ▪ Tipo de CTFs: Jeopardy / Quiz + King of the Hill

37. 37 @javutin / @jmpsec Eventos Facebook CTF & fbctf ▪

    Universidades, Conferencias, Hackathones… ⇢ 󰑔 Universidad de Stanford ⇢ 󰏅 Universidad de Cambridge ⇢ 󰑔 Universidad de Birmingham (Alabama) ⇢ 󰎐 BruCON ⇢ 󰎼 NcN ⇢ 󰎼 ConectaCon ⇢ 󰑔 OWASP San Diego ⇢ 󰐐 HITB Kuala Lumpur ⇢ 󰏚 SOURCE Dublin ⇢ 󰑔 r00tz CTF (DEFCON Kids) ⇢ …

38. 38 @javutin / @jmpsec 👍 Pros ▪ Diseño innovador ▪

    Crecimiento y comunidad ▪ Facebook Open Source fbctf 👎 Cons ▪ Problemas de rendimiento ▪ Complejidad y tech debt ▪ Dependencia Facebook

39. 39 @javutin / @jmpsec Facebook CTF + fbctf = ▪

    Muy buen sistema de evaluación para experiencia real ▪ Evaluación de candidatos internos ⇢ Nuevos miembros de Seguridad ⇢ Security Awareness ▪ Evaluación de candidatos externos ⇢ Universidades > Conferencias “Los CTFs aceleran el proceso de evaluación y reducen riesgo de malas contrataciones”

40. 40 @javutin / @jmpsec Reviviendo fbctf PHP in 2015 PHP

    in 2020 fbctf UI

41. 41 @javutin / @jmpsec Reviviendo fbctf: Plan PHP in 2015

    PHP in 2020 fbctf UI ▪ Mantener UI ⇢ Posible modernización ▪ Escalabilidad y estabilidad ▪ Limpieza de Tech Debt ⇢ Desde 2016

42. ▪ Mantener UI ⇢ Posible modernización ▪ Escalabilidad y estabilidad

    ▪ Limpieza de Tech Debt ⇢ Desde 2016 42 @javutin / @jmpsec Reviviendo fbctf: Plan PHP in 2015 PHP in 2020 fbctf UI

43. 43 @javutin / @jmpsec Introducing mapctf 🏼 🏼

44. 44 @javutin / @jmpsec Introducing mapctf

45. 45 @javutin / @jmpsec Introducing mapctf 🎉 ▪ Proyecto WIP

    🛠 ▪ Frontend fbctf ▪ Backend golang ⚡ Lista de correo: mapctf.com Repositorio GitHub Discord MapCTF Telegram @mapctf

46. 46 @javutin / @jmpsec Proximamente en mapctf Lista de correo:

    mapctf.com Repositorio GitHub Discord MapCTF ▪ Roadmap ⇢ Funcionalidad 100% ⇢ i18n ⇢ Remote API ⇢ Conectores ⇢ Métricas ⇢ Todo tipo de CTFs ⇢ Themes ⇢ MCP ⇢ … Telegram @mapctf

47. 47 @javutin / @jmpsec Conclusiones ▪ La escasez de talento

    es real ⇢ Pero el talento también lo es ▪ La diferencia no está en los CVs ⇢ Está en la curiosidad ▪ Los CTFs no son juegos para entretener ⇢ Son simulaciones diseñadas para revelar cómo pensamos bajo presión.

48. 48 @javutin / @jmpsec La curiosidad es la primera línea

    de defensa

49. 49 @javutin / @jmpsec ¿Alguna Pregunta?

50. @javutin [email protected] @jmpsec ¡Muchas Gracias!