Así se preparan los jóvenes españoles para el campeonato europeo de ciberseguridad

“Mpwf, mpwf, mpwf”. A primera vista esta frase no tiene ningún sentido. Pero si cada letra del alfabeto inglés se mueve hacia atrás una posición, el mensaje cambia y se lee “love, love, love”. Esta es solo la primera frase de un ejercicio de criptografía básica que utiliza el cifrado César, un tipo de cifrado por sustitución en el que una letra en el texto original es reemplazada por otra letra que se encuentra un número fijo de posiciones más adelante en el alfabeto. Se trata además de uno de los retos al que se enfrentaron el pasado jueves en un entrenamiento los jóvenes españoles que este año representarán a España en el European Cyber Security Challenge (ECSC), una competición promovida por la Comisión Europea que busca detectar el talento en competencias de ciberseguridad.

La primera sesión de entrenamiento tuvo lugar la semana pasada en León. “El jueves durante cerca de ocho horas y el viernes por la mañana estuvimos haciendo retos como este en equipos de tres personas”, cuenta Enrique Larriba González, un joven madrileño de 22 años que ha estudiado un grado de Ingeniería Informática y este año va a cursar un máster de ciberseguridad. Es uno de los miembros del equipo español, que está formado por jóvenes de entre 18 y 25 años de diferentes partes del país como Asturias, Cádiz, Córdoba, Ciudad Real, Valladolid o Canarias.

España ya se ha proclamado vencedora del torneo en las dos últimas ediciones. Y sus miembros ahora se preparan para volver a conseguirlo en el campeonato de este año, que tendrá lugar en Londres entre el 14 y el 17 de octubre. Los jóvenes que componen el equipo tienen perfiles diferentes. Así lo explica José Ignacio Rojo Rivero, un ingeniero de telecomunicaciones de 25 años que ha sido el capitán del grupo en las dos últimas ediciones y este año no podrá acudir a la competición porque ya ha superado la edad permitida.

“No se trata de coger a los mejores, sino de formar un equipo que se entienda bien”, explica Rojo, que ahora trabaja en SGS Cyber Lab, la propuesta de la empresa SGS para el desafío de seguridad digital. El grupo es seleccionado cada año por el Incibe de entre los mejores de CyberCamp, un torneo similar pero de ámbito nacional. En España siempre cinco de los jóvenes que acuden al campeonato tienen que ser menores de 20 años. Pero, a diferencia de otros países, no se permite que vayan menores de 18. “Es por comodidad. La legislación para viajar con menores es complicada”, explica el ingeniero.

Las pruebas del campeonato

Los integrantes del equipo todavía no saben con certeza en qué consistirá este año el torneo. Hasta ahora, duraba ocho horas seguidas y se dividía en tres apartados: CTF Jeopardy, ataque y defensa y hardware hacking. Las pruebas de CTF Jeopardy están relacionadas con la criptografía, encontrar vulnerabilidades en una web, ingeniería inversa y explotación de binarios. El apartado de ataque y defensa consiste en “atacar al resto y evitar que te ataquen a ti”. “Aquí el tiempo importa. Cuanto antes atacas, más puntos ganas”, afirma Rojo. Por otro lado, el hardware hacking consiste en diferentes retos que se entregan al equipo cada dos horas. Por ejemplo, el de abrir una puerta que funciona con un lector de huellas o acceder a una caja fuerte que se bloquea cinco minutos si fallas al introducir el código tres veces.

Pese a que en los entrenamientos programados los jóvenes resuelven diversos retos, la estrategia de INCIBE se centra en que se conozcan entre ellos. “Nos dicen que no nos van a enseñar nada porque estamos más que preparados y trabajan el team building. Tenemos que salir a cenar juntos o a tomar unas copas. El foco está en hacer piña porque hay perfiles muy introvertidos”, cuenta Rojo. Además, también trabajan con un profesional de recursos humanos para reforzar la comunicación, trabajar los tiempos de respuesta y controlar la ansiedad. “A veces terminamos a gritos en la competición, es muy complicado”, afirma Larriba.

Ambos jóvenes han adquirido los conocimientos sobre ciberseguridad en foros y participando en competiciones online. “Esto no se estudia en la carrera. Tú mismo te pones retos. Por ejemplo buscas cómo hacer trampas en un juego online o cómo crear un jugador fantasma”. Al igual que ellos, la mayoría de chicos que participan en el campeonato son autodidactas. “Gran parte de la selección no ha ido a la universidad y no tiene Formación Profesional”, afirma Enrique.

Hasta el European Cyber Security Challenge, los jóvenes que representarán a España se reunirán una vez más para entrenar y conocerse más entre ellos. De momento, ya tienen un grupo de Telegram por el que chatean y se envían retos. Rojo y Larriba se muestran optimistas de cara a la competición. “Hemos ganado en dos ocasiones porque somos los mejores y por la picaresca española. Tenemos el mejor talento”, concluye Rojo.