CTF de BSides Colombia 2025

Hola a todos los amigos de BISE, bienvenidos al canal. En estos episodios que vamos a ver eh en estos días antes del evento, la idea es tratar todo lo que vamos a tener en el mismo. Vamos a tener charlas, handsons, entrenamientos, fiesta, talleres, espacios para principiantes. Vamos a tener muchas cosas en nuestro evento en el Vis Colombia 2025. Y la idea es tomar estos espacios para ampliar de qué se trata cada evento en específico. Hoy voy a tener la compañía de dos grupos muy especiales, BGBERs y Udar, quienes son los organizadores del CTF. Y el CTF es algo principal en nuestro evento, en el BIS. ¿Por qué? Básicamente las competencias de capturar la bandera son la mejor forma de

aprender jugando y se aprende muchísimo de ciberseguridad. ¿Por qué se aprende? Porque vamos a tener retos, herramientas, vamos a conocer gente, vamos a conocer tecnologías, cosas innovadoras y ese mito, ¿será que sí se puede aprender jugando sobre ciberseguridad? lo vamos a revelar aquí en este episodio. Entonces, le voy a dar paso y la bienvenida a nuestros compañeros, a Gero y a Gabo primero de Back de Backbunter y muchachos, bienvenidos. ¿Cómo están? Hola, buenas noches a todos los que nos están viendo en este momento. Muy bien, gracias. Hola, buenas noches a todos. S. Y vamos a darle paso también a David Chaparro que nos acompaña de Bar. ¿Cómo estás, David? Hola, buenas, Lucho. Bien, aquí en la casita y preparado para el

podcast. Listo. Perfecto. Entonces, ustedes son los organizadores del CTF del Bis Colombia 2025 y realmente es un honor porque sé que ustedes como grupo eh tanto de universidad como BG Bunters que están dedicados y tienen un conocimiento muy muy extenso sobre lo que son los ETFs desde el lado de como participantes, ¿no? han participado, han participado en eventos locales, han participado en eventos internacionales con muy buena puntuación, con muy buenos reconocimientos y ahora ustedes pues innovando también en el tema de eh como desarrolladores de un CTF y eso es supremamente importante porque me parece que desde la experiencia se arman cosas muy innovadoras, cosas muy chéveres, que saben de qué eh de qué es la necesidad y

qué necesitan los jugadores. y por dónde vamos a a ver esos diferentes retos que vamos a vamos aquí a explicar desde todo, desde la parte básica, qué es un CTF, cuál es qué es principalmente lo que se busca, qué ventajas vamos a tener sobre eso. Entonces, ¿quién más ayuda con la primera pregunta? ¿Qué es y cuál es el objetivo principal de un CTF, muchachos? Bueno, CTF, como lo dice, es un capture de flag, es capturar la bandera dentro de este CTF, que es como un tipo de se puede ver como un videojuego, un juego o una competencia también. Eh, hay diferentes categorías dentro de de esta competencia. Lo que busca como tal un CTF es poner a prueba las habilidades, los

conceptos y otros temas relacionados con ciberseguridad como tal en un ejercicio. Hay obviamente hay diferentes tipos de CTFs que más adelante los podemos mencionar, pero básicamente lo que busca es poner a prueba los conocimientos que tiene cada participante de resolver un reto. Okay, Gabo, David, algo adicional. Eh, yo agregaría que con los ETFs también se busca que uno pueda aprender jugando. Es decir, eh muchas veces uno eh se enfrenta pues como un reto, uno no sabe cómo solucionarlo, entonces es como aprenda rápido, eh diviértase. Eh usted en el aprendizaje se da cuenta que muchas veces son cosas que usted ya sabía, pero faltaba complementar algo. Entonces creo que el CF es empez aprender jugando y no aprende muy rápido

todo. Okay. y David e también si de acuerdo con Gabo, congelo que la también quería añadir que la gamificación de, por ejemplo, en este caso el aprendizaje de la ciberseguridad o del etical hacking ahorita está como en un punto muy muy altico, es muy popular, ya que se realizan muchos ETFs por universidades o por organizaciones, pues las empresas ven que esta es una muy buena manera de aprender y pues de paso ya hacer mucho networking o divertirse. Okay, listo. Partimos de un juego. Hay diferentes tipos de CTF. Existen diferentes tipos de CTF. ¿Nos pueden explicar un poquito de qué se tratan los tipos más relevantes? Sí, hay creo que tres tipos. Conozco tres tipos de CTFs. El primero es

Jeopardy, que es como el más común o el normal que uno ve en todas las competencias, que es el que tiene diferentes categorías. Eh, cada ejercicio tiene un puntaje. Si el ejercicio es muy difícil, obviamente va a tener un puntaje mayor a uno, que es más fácil y cada persona o participante puede resolver el reto que quiera. Dentro de esto hay categorías, por ejemplo, como web, Pawunet, Reversing, eh os intens, este, ganía, miscelanium y otras que puede que se me escapen. También está el tema de ataque y defensa, que este es un CTF como más avanzado y difícil de montar, que es que dos equipos tienen la misma infraestructura, tienen los mismos servicios, los mismos puertos, los

mismos eh protocolos, pero cada equipo tiene que atacar y asimismo defenderse. Entonces, los que están atacando tienen que crear scrips, tienen que crear exploits, saber cómo atacar la máquina rival y asimismo el equipo de defensa tiene que tratar de parchar, de defenderse y bueno, hay más cosas. Y el otro, eh, si no me equivoco es King of the Hills, que lo que trata es como que también tienen la misma infraestructura para todos los participantes, pero tienen que tratar de explotarlo muchas veces y conseguir el mayor eh puntaje que se pueda dentro de esta categoría, dentro de este ejercicio, perdón. Okay, perfecto. Gabo, desde su experiencia, ¿cuál es el más común que le ha tocado jugar?

El más común y pari pues eh realmente diría que un 98% de los ETFs que se juega actualmente es J pari. Eh, ataque y defensa, pues me parece que es muy muy interesante porque es claro, usted esté atacando constantemente, defiéndase, pero como decía Jerónimo, por su complejidad, pues a la hora de montar, monitorear y demás, pues es poco común, pero considero que es muy divertido. Okay, perfecto. Listo. Bueno, vamos a aclararle a también a las personas que nos están viendo. El BIS empieza el 11 de junio al 14. El CTF lo vamos a jugar el 13 y 14, ¿verdad? Son dos días, dos días que va a estar el CTF abierto para que ustedes puedan participar. ¿Qué tipo

de CTF va a ser? Va a ser Yopari. Yopari. Listo. Perfecto. O sea, que vamos a tener diversos tipos de de retos de categorías pound, web, crypto, reversing, forense. ¿Qué cuál se me queda por fuera? Eh, osint este ganografía. Estan. Okay, perfecto. Y adicional también tendremos unas misiones realistas donde acumula varias categorías en en un solo ejercicio. Okay, perfecto. Entonces vamos del 13 al 14. Finaliza el 14 con el con el evento y obviamente en la premiación. Entonces el 14 vamos a estar mediodía y vamos a manejar un sistema de puntuación estilo yopardi ¿verdad? Sí, listo. Perfecto. De ustedes, eh, vamos a preguntarle a David cuál es la categoría que más le gusta jugar normalmente usted como participante.

Normalmente, aunque no se ve mucho el fullpound, que es eh despliegan máquinas completas y en parte toda me gusta mucho el proceso como de hacer del pen testing, de reconocimiento, análisis, explotación, escalamiento de privilegios. Me gusta mucho porque hay que tener diferentes habilidades en cada una de esas áreas hasta llegar a ser como administrador completo de todo el sistema casi dueño. Entonces es como llegar al final. Al final es es una satisfacción muy grande y es muy chévere documentar y ver todo el proceso. David, pero de pronto para una persona que no digamos que no que no esté familiarizado con el término full pound, ¿de qué se trata? O sea, cómo desde el principio, ¿qué es lo que

busca este tipo de retos y a qué nos vamos a enfrentar cuando estemos jugando en el CTF del Visides Colombia? Eh, bueno, en el en este CTF del Besides no van a haber así máquinas full pound, pero va a haber la categoría cloud, que va a tener dos máquinas montadas en la nube e, bueno, diferentes nubes y pues toca hacer una fase de reconocimiento y también de análisis. Es un poquito full pound, pero es más enfocado como a vulnerabilidades de cloud. Entonces va a estar un poquito chévere y esos están patrocinadas por la por Gerardo que nos pasó esas máquinas de de Span Spartan Cav Security. El muy amable nos muy amable nos la pasó

nos pasó esas dos maquinitas para para ver porque en el en el en nuestro CTF del JCN se fueron en blanco. Nadie pudo paearlas, nadie pudo lograrlas. Entonces, para ver si esta vez sí si es posible, pues eh más o menos intentamos tener dificultades de diferentes de fácil, medium, un poquito difíciles, como para que jueguen cualquier tipo de personas, ya sea primera vez o o un poquito ya más experto. Okay, s listo. Hero, ¿cuál es su categoría preferida cuando está como participante? Eh, mi categoría favorita desde hace un buen tiempo es el forense digital. Estos retos eh, así sean repetidos y así toque usar las mismas herramientas, siempre tiene algo distinto. Entonces, siempre toca poner a

volar la imaginación para resolver uno de estos retos. Y Gabo, ¿cuál es su categoría favorita? Eh, yo recuerdo que primero intentaba forense, no me daba, entonces como que no maneja la frustración. Eh, de ahí conocí os intamos que me gusta mucho el tema de de Os, pues estoy todas las categorías que tiene Osin porque pues OSIN rec pues recoge varias, entre ellas, por ejemplo, Geoint. que me me gusta mucho y me divierto. Pues al fin de cuentas eso es eh como el final de jugar CTF. Claro, es la diversión, es aprender, es conocer, es empaparse sobre las diferentes técnicas y tácticas que hay sobre una categoría específica, ¿no? Normalmente uno cuando estaba jugando coge su categoría específica, intenta

retos, saca eh lo que decíamos, se frustra, vuelve, intenta y todo eso, pero lo importante aquí en este tipo de eventos es también la parte después del evento, ¿no? Lo que viene después del aprendizaje. Vamos a tener Waps, el solucionario. Vamos a tener esa posibilidad en este CTF después de para la gente que no pudo conseguir un reto, que se quedó con la duda, que tiene la intriga, cómo se sacó, qué herramienta se utilizó, qué técnica se utilizó, vamos a tener aquí en este CTF del Visombia 2025 en los solucionarios. esa posibilidad. Eh, hemos evaluado eh darle pues como una mención honorífica eh al participante o equipo pues que se arriesgue a crear un ride up y si son

varios pues el mejor que que saque pues se gana como esta mención honorífica. Digamos que eh la idea también es si vemos que que las personas están interesadas después de la premiación, pues dejar abierto eh la plataforma uno o dos días más para que sigan intentando, sigan aprendiendo, pues y mejorando. Sper s. Nos hacen una pregunta, ¿cuánto tiempo llevan preparando este CTF, muchachos? Yo creo y podría decir que por parte de Bugs estamos más o menos desde enero creando retos eh super estructurados para para el CTF. E yo creo que por parte de UcBar llevamos varios mesecitos, yo ya quedé tres, pero desde hace un poquito más antes con varias ideas que claro, uno no

puede la creatividad en los ETF es como como dijo Jerónimo, por ejemplo, algunos de forenses siempre se utilizan mismas herramientas o dan archivos con extensiones parecidas y pues entonces como que a uno haciendo CTF se le van ocurriendo ideas, ¿no? obviamente no las mismas, pero uno le va poniendo creatividad en esos retos. Entonces, esas ideas ya las venimos sacando desde hace mesecitos atrás, unos tres, cuatro mesecitos atrás. Okay, perfecto. Más o menos, ¿cuántos retos vamos a tener en el CTF? Qué buena pregunta, Luis. ahí digamos que vamos a tener como dos partes o dos momentos por así decirlo. Eh, vamos a tener un momento que es el que está diseñado por Books, pues o sea,

por nosotros, que son misiones. Digamos que cada misión va puede tener cuatro, cinco, o seis preguntas diferentes y puede ser desde OSIN, puede ser habilidades web, eh puede ser un poquito de forense, pues para completar la misión. Eh, emisiones, más o menos vamos a tener unas cuatro o cinco eh no recuerdo bien el número y ya va a estar el otro momento que son los compañeros de de Ukubuar que estaban preparando pues ya como retos, digamos que más clásicos, que ahí David pues nos puede ampliar un poco más la información. Mm. Sí. acá viendo pues alrededor de te diría que unos 15 20 de 15 a 20 por ahí retos, como dijo Gabo, más como específicos por categoría, como

como acá tengo la lística como más sí específico de categoría pound, o sea, explotación de binarios de reversing, tenemos blockchain también que esa fue una que no mencionaste que también va a estar muy interesante este ego, criptografía y y obviamente forense y también malanos que son de temas de otros temas no tan específicos. Ah, okay. Okay, okay, perfecto. Tenemos otra pregunta. ¿En qué debería enfocarse alguien que en sus en sus primeros ETFs, velocidad, efectividad? ¿Cuál es la recomendación por parte de ustedes? Para mí efectividad, porque si se completa como tal el reto, va a quedar con habilidades y conocimientos nuevos. Si lo hace por resolver, simplemente va a obtener un puntaje que en 6 meses ya

no va a hacer nada en la vida de él. Okay. ¿Qué dice Gabó y David? Eh, yo estaría de acuerdo con Jerónimo, con el tema de efectividad, pero más allá de de digamos frustrarse o o intentar ganar siempre es el aprendizaje. O sea, uno uno se enfrenta a las categorías, a los retos y la idea es aprender y aprender, porque claro, eh como todas las habilidades son practicando y practicando. Entonces, en unos cu o ces, si usted cada 8 días, por ejemplo, como nosotros que nos ponemos a jugar CTFs cada 8 días, eh le damos y le damos claro, en cu 5 meses ya usted se puede enfocar más fácil en velocidad porque ya usted tiene el conocimiento y

lo que usted no sepa lo puede aprender rápido, pero al inicio lo importante es efectividad y manejar la frustración. O sea, no digamos que encasillarse o ponerse triste porque no logra un reto, eh, sino que es más fácil verlo como una oportunidad para mejorar. Eh, incluso están los Wups, que en su mayoría eh son los mismos competidores que publican después de que de que terminan los eventos. Entonces, claro, ahí si uno no fue capaz de solucionar un reto, pues uno puede leer cómo era la solución y aprender también de ello. Exacto. Eso es superimportante, no quedarse con la duda, no quedarse con la deuda técnica, aprender aprender mejorar esas tools, meterla en la bolsa también y

pues tener un conocimiento aplicado, ¿no? Sobre una temática específica. Y David, completamente de acuerdo, porque creo que hablo por todos de que siempre el primer CTF da muy duro o el primer reto que uno haga uno se frustra mucho, pero entonces manejarla. Y algo que quería adicionar es que es me parece muy bueno, excelente es que si tienen compañeros con los que están revisando el CTF pueden apoyarse en esos compañeros. de pronto alguno que tenga más experticia o que tenga más experiencia en el en el en el en el en el C en temas de CTF o en la categoría que se esté haciendo reto, eso ayuda muchísimo, ya que ellos están como una base de dónde apoyarse y por dónde

seguir el camino para aprender mucho mejor y avanzar. Bueno, los tres hablaron sobre el tema de efectividad, completamente de acuerdo. Y ahorita tenemos una tecnología, tenemos la inteligencia artificial y hay ahí un hay una zona gris desde mi punto de vista. ¿Qué opinión tienen ustedes sobre la inteligencia artificial como apoyo para resolver este tipo de retos? los retos que se encuentran normalmente en CTF. Empecemos con esa pregunta, por Gero, ¿qué opinión tiene de la IA en este tipo de de eventos? Bueno, yo considero que si se trabaja bien con la IA se puede obtener eh resultados bien bacanos porque este pues como tal acelera el tema de la compresión de conceptos, le resume a uno

algún concepto super rápido, entonces uno puede entenderlo mucho más rápido. también ayuda a crear algunos script base con las ideas que uno le haga al template de, no sé, GPT o de cualquier otra eh a generar algunas expresiones, de codificar algunos formatos, o sea, puede ser algo super ágil y rápido a la hora de responder algunas preguntas, pero hay unas contras también de de este tema y es que eh como tal una no reemplaza pues como el el pensamiento, no sé, el razón onamiento de las personas, ni siquiera la experiencia pues como tal práctica. Entonces, esto lo que va a ser a largo plazo de alguien que está usando GPT o la IA para resolver retos es que no le va a ayudar

a crecer como ese nivel de habilidades y siempre se va a quedar como estancado en en esta parte de los retos pues sencillos o o fáciles, no sé. Y el otro problema es que hay muchos retos que sí o sí la la IA los resuelve, o sea, uno es simplemente le pone el archivo y el la descripción y ya él llega y lo resuelve. Entonces también esas esas flags no son como tan nutritivas para cada participante. De acuerdo. Gabo, ¿qué opinión tiene? Eh, yo digamos que recuerdo cuando pues al principio no jugaba STF sin la existencia de de la IA y digamos que era como chévere, pero también era como que uno se demoraba mucho solucionando un

reto porque claro, si uno eh se enfrentaba a una categoría o alguna extensión o algo que uno no conocía, lo único lo primero que uno hacía era Google. Entonces empieza a googlear, a buscar. Entonces, uno terminaba aprendiendo en 1000 cantidad de cosas para poder solucionar un reto. Digamos que eh la idea como como tal y como se está usando pues en este momento en en empresa siento, digamos que acelera mucho ese tema de de aprendizaje o de entender más rápido las cosas. Entonces, digamos que no estoy en contra del todo de usarla, eh, pero sí pues como hasta cierto punto, o sea, que que sea como un apoyo más no decirle o dejar lo que le

ha uno, porque pues si no como mencionaba Jero, es como que uno queda ese sin sabor como que no pues yo para qué estoy jugando si ya una día me va a hacer todo. Entonces ahí uno no aprende, uno no disfruta, uno no hace nada, sino que es como llegar, escribir el prom, la flag, meter puntos, ya no, realmente ese no es el no es el objetivo. Entonces lo veo más como un apoyo cuando yo no está en callejones sin salida y no como digamos el medio para lograrlo.

Okay. Okay. Y David, ¿qué opinión tiene sobre la IA? en los C ETFs. Yo opino que, por ejemplo, Chat GPT con un buen prom es un excelente profesor, la verdad, el porque te puede explicar muy bien, te puede explicar detalladamente, pero pues, por ejemplo, me gustaría dar el ejemplo como de los retos de criptografía. tú le pasas algo encriptado que no esté con un cifrado tan tan robusto o tan tan difícil y la te lo desencriptaba muy fácil y tú solo puedes la flac y subirla, pero pues no lees todo el proceso que hizo la y pues también me parece divertido sería hacer el decifrado a mano, que eso es la como la esencia de esos retos de criptografía.

Entonces sería como el lado bueno y el y el lado malo. ¿De acuerdo? Sí. Al final el conocimiento es es digamos lo más valioso acá, ¿no? En este tipo de de competencias y no entrar al detalle técnico y no mirar cómo se hace y y obtener una respuesta fácil de una vía, pues deja un sin sabor, ¿no? M se pierde la esencia que es jugar para aprender, para conocer, para retarse de uno mismo. Y ahí va mi siguiente pregunta. De eso, de esas experiencias que ustedes han tenido cuando juegan CTFs, de ese conocimiento adquirido, ¿qué les ha ayudado en su desarrollo profesional, en su vida laboral? ¿Qué qué son esas experiencias que dicen, "Uf, gracias a este a esto

que conocí en un CTF tuve pues un desarrollo en X oy trabajos? Eh, bueno, por mi parte creo que me ha ayudado mucho a fortalecer como habilidades técnicas para mi día a día. En la resolución de retos, por ejemplo, de Dios. He logrado recopilar herramientas que no tenía ni idea para qué eran. Y obviamente esto en el día a día para realizar investigaciones eh sirve bastante. También el hecho de jugar tanto ETFs, e la el estrés de tener que resolver algo me ha hecho también trabajar como bajo presión, de cierta manera tranquilo y y pensando en lo que tengo que hacer. El tema de del trabajo en equipo es muy importante. Eh, cuando jugamos ETFs hay

muchas veces que eh un compañero llega hasta cierto punto del del reto y de ahí ya no sabe para dónde Lo coge otro compañero y empiezan a hablar como hice esto, hice lo otro, entonces ya el compañero sabe qué tiene que hacer y cómo puede seguir. El trabajo en equipo en en la parte de CTFs es bastante importante y obviamente en la vida laboral. Y yo creo que por último y también que me ha gustado mucho es como eh mejorar el como el pensamiento crítico a la hora de tener diferentes problemas, a la hora de resolver los problemas. Okay gracias. Eh, coincido mucho con Jerónimo con el tema de del trabajo en equipo. Digamos que que uno lo desarrolla mucho y por

eso es bueno uno jugarse TF en equipo porque claro, si por ejemplo hay un reto que puede tener una mezcla entre forencia y esteganografía y hay una persona que es muy fuerte en estego y otra que es muy fuerte en en forense, pues se puede hacer match muy rápido y sacar el reto fácil. Y aparte de eso, entre los dos un aprender. Eh, también el tema de de pensamiento lateral, digamos que hay unos retos que son muy volados, entonces eh a uno le toca pensar como fuera de la caja. Eh, y entonces también es muy bueno porque en la vida profesional es lo mismo. Es uno, por ejemplo, pensar cómo pensaría un atacante para hacer, digamos, algo malo.

Entonces es como también pensar fuera de la caja y digamos que los ETFs lo ayudan mucho a eso y también manejar el tema de la frustración porque claro, uno en la vida laboral uno se enfrenta todos los días a a no encontrar cosas, a tener que que manejar, digamos, el el genio, por así decirlo, de de otras personas. Entonces, claro, el uno estar ahí en CTFs, uno manejando su frustración, su rabia, sus alegrías, pues digamos que gestionando las emociones es muy bueno y también pues no dejando de lado las herramientas que uno que uno puede aprender o uno puede ir cogiendo al ir solucionando los retos o incluso al leer los solucionarios. Perfecto. Y David,

no, sí, completamente de acuerdo. lo que son mejoramiento de habilidades blandas, agilidad mental, trabajo bajo presión, porque en CAS CTF hay un tiempo límite y uno también pues compite con otros equipos o con otras personas y también el pensamiento afuera de la caja que me parece muy importante y muy crítico a nivel tanto laboral como académico. Perfecto. Bueno, Gabo hablaba de herramientas. Y Matías 7 nos preguntaba también sobre este tipo de de prerrequisitos que debemos tener. Entonces, voy con la siguiente pregunta y empecemos por David. ¿Qué herramientas recomienda tener previamente instaladas antes de de llegar al CTF? de llegar ese 13 de junio al Visis eh Colombia, ¿qué herramientas debe llevar sí o sí en su

computador para estar listo y no tener que estar descargando y configurando, sino que ya debe llegar? ¿Cuál recomienda David? E bueno, yo personalmente recomendaría la instalación, ya sea nativa o en máquina virtual e de Cali Linux o cualquier sistema operativo basado en Devian, cualquier Linux basado en distribución basado en Devian, porque yo me estoy muy bueno, estoy muy familiarizado con su gestor de paquetes, su ambiente, su personalización, pero pues sin embargo no descalificó cualquier otro sistema operativo como Windows como Mac, que también se puede instalar muchas herramientas de esta, pero pues las que no corren o no soportan estos sistemas, sí me parece necesari necesarias o buscar otra herramienta o emularlas ahí en un Linux con con máquina virtual.

Perfecto. Gabo, ¿con qué herramienta se debe llegar? Coincido mucho con David con el tema de tener una máquina con Linux o incluso pues si si la persona eh solamente conoce Windows, pues se puede digamos que tener un WSL que es la posibilidad de correr comandos de Linux en Windows. También hay herramientas como MOBA Exterm que ayuda pues como a uno emular o poder correr ciertos comandos y ya depende mucho como de la categoría primero en la cual la persona se quiera como enfocar o o si quiere pues como aprender muchas cosas. Eh, digamos que nosotros como Books Bounter tenemos un repositorio en GitHub en el cual tenemos muchas de las herramientas que pueden ser útiles para ese día. Entonces, eh

pues también los invitamos a que a que busquen pues como nuestro repositorio y allí pues van a encontrar como muchas de estas herramientas que les pueden ser útiles. Sigo, ¿no? Ya, ya los dos contestaron todo. Desde que tengan un desde que tengan un navegador para googlear y tirar Google Dorkin ahí, ya con eso resuelven cualquier tipo de reto. Bueno, usted nos dijo forense al principio, que era su preferida, ¿con qué herramienta de forense tiene que estar sí o sí? Eh, yo creo que las más básicas que sí o sí toca descargar, por ejemplo, en Windows sería útil un Autopsy para mirar eh imágenes. Eh, y en un Linux recomendaría también un un Volatility. El resto creo que ya con los comandos

básicos de Linux, de un Parrot, de un Cali, pueden resolver cualquier otro tipo de reto que se venga. Gabo, Docín, ¿qué herramienta no puede faltar? Eh, son tantas, pero digamos que el navegador navegador y y Dorks es lo más importante para INT, porque pues como son búsquedas en fuentes abiertas eh realmente es eso. Google hace la magia. Alguien que no sepa qué es Dor, ¿qué es Dorks? Vale. Eh, Dor, son búsquedas avanzadas que uno puede realizar en Google eh, usando como ciertos caracteres o ciertos operadores para uno afinar mucho la búsqueda. No es lo mismo, por ejemplo, uno buscar un nombre completo en Google a, por ejemplo, separarlo, entre comillas, el nombre y el apellido, porque eso te

puede dar la posibilidad de encontrar más exactamente el nombre, por ejemplo, que estás buscando o incluso te puede abarcar muchísimo más el como el espectro de búsquedas. David, para pound, ¿qué no nos puede faltar? Uy, para bueno, para P, para la categoría Pun que de análisis de explotación de binarios o de full P. No, P solamente P de Pun. Uy, pues no no es tanto mi fuerte. Yo diría que bueno, mi compañero Wilches, que es el que está dándole duro a los retos de Paun diría que para un GDB. Uy, que se me vengan la mente para un GDB. Bueno, para hacer obviamente revering para analizar binario sería Gidra o Aida. Aida, bueno, si tiene la versión

paga Aida Pro, si no la versión gratuita Aida normal. Y ya también quería añadir para forense una herramienta super importante que es Wild Shark, que casi muchos ETFs aparece unos paquetes por ahí que toca analizar en en Wchas Perfecto. Sí, para Pa no y para Revering no puede faltar Jidra, ida y GDB, ¿no? GB tiene que ir. Y para específicamente pound, todo el tema de pound tools, hay que tenerla, sí, exacto, y y configurada y y probada. Listo, muchachos, ya vamos llegando al final. Aquí tenemos más preguntas, consejos para la primera vez en un CTF. Duisa, ¿qué consejos le dan le le dan ustedes a los que por primera vez van a jugar el CTF? seiman, se arriesgan, se

inscriben y van a jugar allá en Medellín 13 14. Eh, yo diría primero no tener miedo, no estar predispuestos a que no van a lograr las cosas, sino que por el contrario tener la mentalidad de que van a encontrar todas las flags. Eh, realmente la mente ahí juega mucho y realmente si uno se digamos se mentaliza o se enfoca en que uno va a lograr las cosas, eh, eso ayuda mucho. Eh, ¿qué otra cosa? También tratar de dormir muy bien, digamos que tener la mente fresca, al menos en las primeras horas, es muy útil. Eh, también estar muy hidratados porque uno hay veces se enfoca mucho en jugar, jugar, jugar. Entonces uno descuida que no tiene que tomar agua,

que uno tiene que comer, que uno tiene que de pronto ir al baño. Entonces tratar de de estar muy hidratados porque claro, la mente si está hidratado, si ha comido y demás, pues va a funcionar mucho mejor. Que recordar que que digamos que los ETFs son de entrenar mucho la cabeza, de mover mucho el cerebro. Entonces, entre más uno esté preparado, mucho mejor. ¿De acuerdo? David. Uy, yo diría un consejo muy bueno es intentar cualquier reto, cualquier categoría por no tenerle miedo de que, uy, no, acá hay un reto de de que de este ganografía. Yo no sé qué es eso que me asusta y pues no, inténtalo, métete y revisa con tus conocimientos básicos y

si no indaga, indaga y así con todas las categorías y quién sabe, hasta puedes encontrarte un reto que te guste mucho, te enamores de la categoría y pueda ampliarse mucho más. Es eso es lo bonito de los ETFs, la diversidad, ¿no? Sí. Yero, eh, yo creo que siempre es leer muy bien la descripción. La descripción de los retos siempre dice algo más allá de una simple descripción. Y en caso tal de que de que no se sepa muy bien o no se tenga como tal una herramienta para resolver un reto, siempre es googlear. O sea, uno googlea cualquier cosa y encuentra la respuesta sí o sí o algo muy similar que le puede ayudar a uno a abarcar el reto

para poder solucionarlo. Listo. Y ya para ir cerrando, una pregunta de Óscar González. Fuerza bruta para CTFs, ¿lo han contemplado? ¿Tienen algún reto que se tenga que hacer fuerza bruta por parte de nosotros? No hay como tal eh retos que tengan que ver con fuerza bruta. No sé de pronto, David, si han creado alguno de este tipo. Eh, por parte de UcBar, pues tampoco es para hacer spoiler, pero pues uno si se tiene que hacer algún tipo de fuerza brutal, siempre va a haber como una pista eh para realizarla, ¿no? y pues de pronto sea un diccionario o se especifica con qué se tiene que hacer la fuerza bruta y tampoco, obviamente están aclaradas en

la en el las reglas del CTF, no hay que hacer ningún tipo de fuerza bruta a las a las flags, al a donde se tienen que subir las flags o a la misma estructura del CTF, ya que pues esto caería página y por eso es que algunos challenges de web, por ejemplo, son difíciles de mantener, que son de fuerza bruta porque las instancias caen o es muy difícil protegerlas si se realiza fuerza bruta un servicio público, una IP pública. Sí, también hay que tener algo en cuenta ahí con lo que dice David y es no realizar pues como tal ataques de fuerza bruta una bandera eh con tal de encontrarla pues dentro de la plataforma donde hay

que anotarla porque ya esto pues entraría como temas no legales y ya tocaría entrar a banear o bloquear este usuario. Entonces, hay que jugar legal y y obviamente aprender. Claro, está dentro de las reglas. Para ir cerrando temas de reglas, es presencial, CTF presencial, equipos se pueden híbridos o todos tienen que estar presencial. ¿Cómo lo han pensado? Eh, digamos que la idea es que sea pues la posibilidad híbrido, es decir, que tanto personas que estén por fuera como estén en el evento puedan jugar. Eh, claramente los premios son solamente para las personas que estén en sitio. Eh, equipos eh tenemos contemplados que el CTF va a ser por equipos. Eso no quiere decir que si una persona quiere

jugar sola, se tiene que afiliar a un equipo. No puede crear su equipo de solamente esta persona, pero vamos a tener un límite máximo de cinco jugadores por equipo. Y para el tema de la premiación, los cinco deben de estar en sitio. Los cinco deben estar en sitio. Listo. Listo. Perfecto. Reglas claras desde un principio. No hay duda. Bueno, muchachos, por favor regálenle una invitación, unas palabras para que la gente se anime a participar, para que vaya ya al Visis Colombia el 13 y 14, que son los días de las charlas, y jueguen, se animen, participen, ganen los premios. Ya David hablar, le tocó, hermano. No, pues iba a decir que estoy seguro que por parte tanto de Box Bunter como

deb los retos van eh hechos y fabricados con muchísimo cariño y porque ambos somos eh jugamos much jugadores de CTF, jugamos muchos CTFs y sabemos que qué buscan, qué tanto como diversión y conocimiento busca la gente y entonces pues hechos con mucho cariño, mucho amor y pues dedicados también un poquito a la comunidad de Visites y a la comunidad de colombiana pues de Colombia en sí, invitadísimos. Está mucho, Gabo. Eh, igual pues por parte de Book Punter eh los invitamos a que se animen a a jugar las misiones. Sé que van a ser muy entretenidas, van a aprender mucho. Eh, digamos que son misiones eh pensadas en casos de la vida real, entonces eh se

van a divertir. sé que no van a querer el día viernes salir del sitio para seguir jugando y jugando, al igual que los retos que tiene Hugbar también se ven que van a estar muy potentes, entonces la idea es eh que los aprovechen y aprendan mucho y lo más importante se diviertan. Es es el el fin de ahí esforzarnos y hacer todo eso, que se diviertan y aprendan. Dijero, ¿sí? No, si si quieren aprender y si quieren disfrutar de un buen rato, no se pueden perder el CTF que que va a haber en Visai de este año. Así que por allá los esperamos a todos y y que puedan disfrutarlo. Listo, ¿no? Gracias a ustedes, a Bus

Pter, a UD Bar, gracias por creer en el BIS. Realmente así es como se hace comunidad, ¿no? Así uniéndonos eh con este esfuerzo tan grande que están haciendo ustedes por traernos esta cantidad de retos realmente y y algo muy importante que toca dejar claro, ellos van a estar en el evento apoyando todas las preguntas que tengan. Me imagino que poquitas pistas, pero también hay pistas porque eh de esto se trata eh los retos en el CTF, de compartir, de socializar, de hacer networking, de aprender, aprender y aprender. Y esa es la apuesta que siempre hemos tenido en el Visocimiento y relaciones, networking, porque afuera en el mundo de la ciberseguridad se necesitan las dos cosas. Sí. Entonces, muchas gracias,

Gero, Gabo, David, gracias por acompañarnos. Nos vemos allá en Medellín, ya saben, del 11 al 14 de junio, 11 y 12 todo lo que son talleres, entrenamientos, eh 13, 14, el CTF que va a estar buenísimo. Los esperamos allá. Muchas gracias por vernos y, muchachos, hasta la próxima. Nos vemos en en ello. Gracias. Nos vemos. Nos vemos. Hasta luego.