Los concursos de piratería informática Capture the Flag en las conferencias de seguridad generalmente tienen dos propósitos: ayudar a los participantes a desarrollar y demostrar habilidades de piratería informática y seguridad, y ayudar a los empleadores y agencias gubernamentales a descubrir y reclutar nuevos talentos.
Pero una conferencia de seguridad en China puede haber llevado su concurso un paso más allá, potencialmente usándolo como una operación de espionaje secreta para lograr que los participantes recopilen inteligencia de un objetivo desconocido.
Según dos investigadores occidentales que tradujeron la documentación para la Copa Zhujian de China, también conocida como Competencia Nacional Universitaria de Ataques y Defensa de Ciberseguridad, una parte de la competencia de tres partes, celebrada el año pasado por primera vez, tenía una serie de características inusuales que sugieren su propósito potencialmente secreto y poco ortodoxo.
Los concursos de captura de la bandera (CTF, por sus siglas en inglés) y otros tipos de competencias de piratería informática generalmente se llevan a cabo en redes cerradas o “cibercampos” (infraestructura dedicada creada para el concurso de modo que los participantes no corran el riesgo de interrumpir las redes reales). Estos campos proporcionan un entorno simulado que imita las configuraciones del mundo real y los participantes tienen la tarea de encontrar vulnerabilidades en los sistemas, obtener acceso a partes específicas de la red o capturar datos.
En China hay dos grandes empresas que diseñan campos de tiro cibernético para competiciones. La mayoría de las competiciones mencionan a la empresa que diseñó su campo de tiro. Cabe destacar que Zhujian Cup no mencionó ningún campo de tiro cibernético ni ningún proveedor de campos de tiro cibernético en su documentación, lo que llevó a los investigadores a preguntarse si esto se debe a que la competición se llevó a cabo en un entorno real y no en uno simulado.
La competición también exigía a los estudiantes que firmaran un documento en el que aceptaban una serie de condiciones poco habituales: se les prohibía hablar con nadie sobre la naturaleza de las tareas que se les pedía que hicieran en la competición; tenían que aceptar no destruir ni interrumpir el sistema en cuestión y, al final de la competición, tenían que eliminar todas las puertas traseras que habían instalado en el sistema y todos los datos que habían obtenido de él. Y, a diferencia de otras competiciones en China que examinaron los investigadores, a los participantes en esta parte de la Copa Zhujian se les prohibía publicar mensajes en las redes sociales que revelaran la naturaleza de la competición o las tareas que habían realizado como parte de ella.
A los participantes también se les prohibió copiar datos, documentos o materiales impresos que formaran parte del concurso; divulgar información sobre vulnerabilidades que encontraran; o explotar esas vulnerabilidades para fines personales. Si se produjera una filtración de cualquiera de estos datos o materiales y causara daño a los organizadores del concurso o a China, según el compromiso que firmaron los participantes, podrían ser considerados legalmente responsables.
“Prometo que si ocurre algún incidente (o caso) de divulgación de información debido a razones personales, causando pérdida o daño al organizador y al país, yo, como individuo, asumiré la responsabilidad legal de acuerdo con las leyes y regulaciones pertinentes”, afirma el compromiso.
El concurso fue organizado el pasado mes de diciembre por Universidad Politécnica del Noroesteuna universidad de ciencias e ingeniería en Xi’an, Shaanxi, que está afiliada al Ministerio de Industria y Tecnología de la Información de China y también tiene autorización de alto secreto para realizar trabajos para el gobierno y el ejército chinos. La universidad está supervisada por el Ejército Popular de Liberación de China.
