¿Cómo hacer de la ciberseguridad un deporte competitivo?

por Alan Martín

CyberPatriot se ha convertido en un gran negocio en los Estados Unidos. ¿Puede la versión del Reino Unido hacer lo mismo?

Siempre comida disponible está en problemas. La startup de entrega de alimentos con drones se ha convertido en un gran objetivo para los piratas informáticos en los últimos 12 meses y, lo que es peor, toda la red está llena de puntos de entrada para que los piratas informáticos se infiltren y literalmente roben el almuerzo de los accionistas.

Lo más probable es que no hayas oído hablar de Always Food Available, y por una buena razón: no existe. Es una corporación ficticia, pero en lugar de ser creada en su totalidad por razones éticamente dudosas, Always Food Available tiene una USP completamente virtuosa: es el entorno perfecto para que los expertos en seguridad cibernética del mañana perfeccionen sus habilidades.

Esta es la tercera anual Concurso CyberCenturion. Durante un período de cuatro horas, diez equipos de cuatro niños de 12 a 18 años deben tapar la mayor cantidad posible de brechas de seguridad. Si están entre los tres primeros, ganarán la gloria para su escuela, un hermoso trofeo y una apertura muy útil en sus cartas de presentación de la universidad.cyber_centurian_-_making_cybersecurity_a_sport_-_1

“Sería muy, muy sorprendente si las personas lograran obtener el 100%”, me dice Nigel Harrison, director de operaciones de Cyber ​​Security Challenge UK, mientras salimos del salón donde los retadores están cerrando diligentemente un exploit tras otro. "Lograr el 80 % es probablemente algo bueno: tienen mucha presión de tiempo para lograrlo todo".

“Si bien es teóricamente posible rastrear cada exploit codificado en las bases de datos y servidores ficticios, es probable que necesiten más de las cuatro horas asignadas para cerrarlos todos”.

En otras palabras, si bien es teóricamente posible rastrear cada exploit codificado en las bases de datos y servidores ficticios, es probable que necesiten más de las cuatro horas asignadas para cerrarlos todos, incluso con equipos tan fuertes como estos. Los diez en la sala de hoy se han reducido de un grupo inicial de 83, con tres series de eliminatorias que aumentan gradualmente los desafíos para la compañía falsa, trazando sus comienzos como una empresa nueva falsa hasta la gestación completa como un gigante de entrega falso. Los desafíos han sido variados (la empresa ha cambiado entre Windows y Linux), pero las habilidades que aprendieron en el camino se están probando a fondo.

¿O son? Seguramente en una competencia que se basa en los exploits que los piratas informáticos usan habitualmente, hacer trampa sería algo a tener en cuenta, especialmente en las eliminatorias, que se realizan de forma privada en los terrenos de la escuela. Aparentemente no. “Hay una especie de autocontrol aquí”, explica el doctor Andrew Tyler, director ejecutivo de los patrocinadores de CyberCenturion, Northrop Grumman. “La naturaleza de la competencia la convierte en algo en lo que es muy difícil hacer trampa. El escenario es original cada vez, y tienen que trabajar juntos. No puedes tener una situación en la que haya una superestrella cargando a las demás”, explica.cyber_centurian_-_making_cybersecurity_a_sport_-_6

Ese trabajo en equipo, continúa, es realmente importante; de ​​hecho, toda la estructura de la competencia está diseñada para centrarse en habilidades que no se asociarían estereotípicamente con la ciberseguridad. “Estamos analizando las habilidades interpersonales y están siendo evaluadas. Aquellos que pueden planificar, colaborar, cooperar, priorizar: esas habilidades son necesarias en el lugar de trabajo”, explica Harrison. “Hay una percepción en la mente acerca de los piratas informáticos, ya sabes: sudadera con capucha, 3 am en una habitación oscura por su cuenta, pero eso no te va a conseguir un trabajo en la industria. Estamos buscando a aquellos que tengan habilidades para la vida, no solo habilidades técnicas, y este es el tipo de juego que pondrá a prueba eso”.

Jugando el juego largo

Dado que la competencia solo tiene tres años, tal vez sea un poco pronto para decir qué tan efectivo será para abordar la escasez de habilidades cibernéticas en el Reino Unido, pero hay señales prometedoras del otro lado del charco, donde se originó el formato. CiberPatriota ha estado funcionando durante siete años, y en ese tiempo la cantidad de equipos participantes aumentó de 200 en 2009 a 4,404 en 2017. Además de un modelo de crecimiento fenomenal para emular, hay ejemplos reales de cómo esto está marcando una gran diferencia para entusiasmo por las materias STEM.

“Nos hemos dado cuenta de que nuestro objetivo aquí no es necesariamente solo hacer crecer la fuerza laboral de seguridad cibernética, sino atraer a hombres y mujeres jóvenes a la ciencia, la tecnología, la ingeniería de cualquier tipo”, explica Bernie Skoch, comisionado nacional de CyberPatriot en los EE. UU. . “Si terminan siendo ingenieros aeroespaciales, lo consideramos un éxito”. Skoch ha sido parte de CyberPatriot desde 2010 después de una candidatura fallida a la Cámara de Representantes en Arkansas. “El día que perdí, me invitaron a esto”, recuerda Skoch. “Conocí al titular en un aeropuerto el otro día y me dijo que se levanta todos los días diciendo '¡tú ganaste y yo perdí!'”, se ríe.cyber_centurian_-_making_cybersecurity_a_sport_-_3

No es difícil ver por qué. Se enorgullece mucho de contarme una historia que destaca cuán efectivo es el programa: “Uno de nuestros competidores, que estaba en un tercer año [and] 17 años de edad. Está sentada en su clase de inglés y su teléfono comienza a sonar y es su empleador de medio tiempo: 'te necesitamos aquí de inmediato, tenemos un problema de seguridad'". Pero se trata de algo más que anécdotas sobre jóvenes que se muestran a los adultos: los datos muestran que ellos también están en el camino correcto.

“Ahora hemos rastreado a esos participantes y en una encuesta bastante completa, el 92 % de ellos están involucrados en algún programa STEM, por lo que creemos que hemos tenido mucho éxito en lograr lo que nos propusimos hacer”, explica. “Sin embargo, lo que es igualmente importante, debido a que la correlación no es lo mismo que la causalidad, medimos cuánto su experiencia de CyberPatriot dio forma a sus elecciones de educación y carrera. El 50 % dice que afectó un poco sus elecciones, y un 47 % adicional dijo que afectó profundamente sus elecciones”.

Y eso está pagando dividendos para todos. Dianne Miller, directora del grupo de seguridad cibernética de operaciones de Northrop Grumman en los EE. UU., me dice que la empresa ha contratado a "cientos de niños para pasantías remuneradas, trabajando codo a codo con profesionales cibernéticos".cyber_centurian_-_making_cybersecurity_a_sport_-_7

“Los niños están aprendiendo mucho sobre defensa de hardware, pero también están aprendiendo otras cosas: la colaboración, el trabajo en equipo, la comunicación, el liderazgo. Todo empleador quiere eso en sus futuros empleados”, explica. “Los CyberPatriots se presentan muy bien, son disciplinados y están listos para empezar”.

Ciertamente son disciplinados. Mientras veo la cuenta regresiva pasar de diez a uno para activar el inicio de la competencia, espero una loca oleada de energía a medida que cada equipo se apresura a superar a sus oponentes, pero es lento, metódico y colaborativo. “Saben que el método y ser deliberado es mucho más importante al final que ser rápido”, observa Skoch.

“Cada equipo lo abordará de manera diferente”, me dice Miller. “Puede que estén buscando puertos abiertos, pueden estar buscando cuentas de administrador con demasiados privilegios, pueden estar buscando protección de política de contraseñas. Todos tienen una forma diferente de acercarse a la competencia”.

Evitar que el sombrero blanco se vuelva negro

Hablar de puertos abiertos y política de contraseñas podría ser suficiente para activar las alarmas por un par de razones. El primero de los cuales es la piratería. ¿CyberPatriot y CyberCenturion no están enseñando a los niños las habilidades que necesitan para convertirse en ciberdelincuentes de sombrero negro? “Es un comentario que escuchamos a menudo”, reconoce Skoch. “Hacemos varias cosas para mitigar eso. En primer lugar, solo enseñamos habilidades defensivas, aunque somos lo suficientemente inteligentes como para saber que si alguien se convierte en un buen defensor, por inferencia puede aprender a penetrar.

"¿CyberPatriot y CyberCenturion no están enseñando a los niños las habilidades que necesitan para convertirse en ciberdelincuentes de sombrero negro?"

“Pero lo otro es que con cada programa que hacemos, el primer módulo de instrucción siempre es ciberética. No pasan del primer día sin aprobarlo. No queremos que hagan algo tonto cuando tengan 15 años que pueda afectarlos el resto de su vida”.

Harrison está de acuerdo. “Hay una generación de jóvenes que están desarrollando ese tipo de habilidades de todos modos, y si no les das una buena salida en el lado correcto de la ley, existe el riesgo de que los ciberdelincuentes los influyan en el lado equivocado. lado de la ley”. De alguna manera, esto se parece un poco al argumento sobre la eliminación de la educación sexual en las escuelas, como si no hablar sobre la piratería evitaría que los niños se conviertan en piratas informáticos. Cuando lo pienso en esos términos, parece un poco fatuo. No solo eso, sino que existe la sensación de que los niños están más apegados a Internet que las generaciones anteriores: este es su mundo y quieren protegerlo, en lugar de verlo destrozado.cyber_centurian_-_making_cybersecurity_a_sport_-_2

La segunda razón por la que los adultos pueden Sentirse incómodo con los niños discutiendo vulnerabilidades y puertos abiertos es práctico: alguien tiene que enseñarles, y es un campo exploratorio donde, en la mayoría de los casos, los estudiantes sabrán rápidamente más que sus supervisores. “Algo de eso causa ansiedad, porque este no es un curso escolar tradicional”, coincide Skoch. Esto lleva a algunos participantes de competencia poco ortodoxos: “Hemos tenido equipos de cadetes compitiendo, y el año pasado tuvimos un equipo formado por niños que jugaban juntos en línea”, recuerda Tyler. “Una de sus madres fue su patrocinadora, y pensé que era fantástico”.

El dilema de la diversidad

Desafortunadamente, esa es una de las pocas mujeres que escuché nombrar ese día. El campo de juego es abrumadoramente masculino, y solo veo a una miembro femenina del equipo en la competencia, aunque, en su defensa, aparentemente la atrapé en un mal año. "Oh, Dios, es terrible", dice Tyler cuando menciono esto. “El próximo año tendremos una ofensiva masiva. Nos hemos esforzado mucho, pero claramente no lo suficiente: ha retrocedido desde el año pasado.

“Siento que la cibernética, quizás más que algunas de las partes de ingeniería más duras del negocio, debería tener más equilibrio”, continúa. “Las chicas son fantásticas en eso, tienen exactamente el cerebro adecuado para ello. Esto es lo que es tan increíblemente frustrante: ves, cuando tenemos chicas aquí, solo tienes que observar la dinámica del equipo, ver cómo su liderazgo y la forma en que contribuyen... puedes ver que son las mejores de la raza, y es frustrante que no podamos atraerlos”.cyber_centurian_-_making_cybersecurity_a_sport_-_11

El año pasado, el campo de la competencia fue de alrededor del 10% de mujeres: "Aún es lamentable, pero algo de representación", comenta Tyler. “Perderse la mitad de la fuerza laboral potencial es muy tonto”.

Me imagino que mirarán hacia atrás a la competencia CyberPatriot original en busca de inspiración para corregir esto. Miller me dice que en los EE. UU., la participación es de hasta un 23% de mujeres, una mejora en los promedios de género para STEM en la nación. “Nos hemos centrado realmente en los EE. UU. para aumentar la participación femenina en CyberPatriot. Buscamos activamente organizaciones profesionales que puedan ayudar a promover el programa”. La Sociedad de Mujeres Ingenieras, la Asociación Nacional de Mujeres en Tecnología, Mujeres en Informática y Mujeres en Seguridad Cibernética son todas debidamente verificadas.

“Entonces, trabajando dentro de sus organizaciones, podemos aumentar la conciencia sobre las niñas e influir en las practicantes para que transmitan su pasión por la pieza a otras niñas. Ahora se trata de un 23 % de participación femenina, por lo que nos sentimos cómodos de haber llegado sólidamente, pero siempre buscamos aumentar”, agrega.cyber_centurian_-_making_cybersecurity_a_sport_-_14

Y esto definitivamente importa. “Las empresas y el gobierno del Reino Unido van a querer los mejores y más brillantes talentos para solucionar sus problemas cibernéticos y construir mejores defensas”, continúa Miller. “No puedes dejar fuera a ninguna parte de la población, realmente necesitas llegar a todos”.

“Cualquier equipo tiene solo un 0,6% de posibilidades de llegar a la final: si llegas tan lejos, tu currículum nunca se verá más saludable”

La competencia ciertamente es feroz ahora. Con 4.404 equipos participando en CyberPatriot este año, Skoch señala que cualquier equipo tiene solo un 0,6 % de posibilidades de llegar a la final: si llegas tan lejos, tu currículum nunca se verá mejor. “La competencia ha mantenido el mismo nivel de desafío y astucia que en años anteriores, pero la capacidad de los jóvenes para participar en la competencia ha mejorado”, concluye Harrison.

En última instancia, los grandes honores fueron para St Paul's School en Barnes, Londres. La escuela tuvo dos equipos en la final, y ambos obtuvieron el primer y segundo lugar el martes. Si crees que conoces a un equipo que podría desafiar su dominio, pueden Ingrese a la competencia 2017/2018 aquí. Si están preparados para la pelea, les espera una carrera prometedora.