Viettel 'Hacker' deja su huella en el mapa mundial.

Poco después de la 1 de la madrugada del 27 de octubre, en la sala brillantemente iluminada de la empresa de ciberseguridad Viettel (VCS), los 14 miembros del equipo de VCS estallaron de alegría: el equipo había ganado el campeonato de la competición de ciberataques más grande y prestigiosa del mundo, Pwn2Own 2023.

Este no es solo el resultado esperado de tres meses de trabajo continuo, día y noche, por parte de todo el equipo, ¡sino también de competir tenazmente contra los oponentes más fuertes de todo el mundo !

¡Esta no es solo la primera dulce recompensa para el miembro más joven del equipo, Do Anh Dung, nacido en 2003, que actualmente es estudiante de tercer año en la Universidad Tecnológica (VNU Hanoi)!

No se trata solo del deseo de llegar a lo más alto de la competición para miembros como Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… ¡que llevan varios años probando suerte en este torneo!

También fue un logro glorioso traer a casa el máximo galardón para el país en una de las competiciones mundiales más prestigiosas, lo que reafirma las capacidades del pueblo vietnamita en el campo de la seguridad de la información.

Y, lo más importante, es el fruto de la dedicación que Viettel ha cultivado durante muchos años. Hoy, gracias a VCS y su equipo de expertos en seguridad informática, Viettel puede afirmar con orgullo ser una de las empresas líderes a nivel mundial en seguridad de la información.

Los 14 miembros del equipo VCS que ganó el campeonato Pwn2Own 2023 son muy jóvenes. La mayoría pertenecen a la generación de los 90, y el miembro más joven nació en 2003.

Pero la mayoría de los miembros del equipo tienen años de experiencia y un amplio historial de logros en el campo de la seguridad informática. Incluso el miembro más joven del equipo, Do Anh Dung, ha demostrado su valía: Dung fue quien logró una hazaña en esta competición, ganando en una categoría y contribuyendo al resultado general del equipo.

En la conclusión de la última categoría de competición, celebrada la noche del 27 de octubre, el equipo de Viettel Cyber ​​Security (VCS) se alzó oficialmente con la victoria en Master of Pwn con 30 puntos, dejando muy atrás al segundo clasificado por 12,75 puntos.

Con este contundente resultado, VCS se aseguró el título de campeón por delante de muchos rivales internacionales, considerados fuertes aspirantes al campeonato del torneo, como Sea Security (Singapur), Vupen, Synacktiv (Francia) y Devcore (Taiwán, campeón del año pasado)...

Al hablar sobre los desafíos durante la preparación para la competencia, Ha Anh Hoang, miembro del equipo VCS, comentó: "Tres meses antes de la competencia, los organizadores solo anunciaron el equipo que debíamos dominar. Por lo tanto, solo tuvimos tres meses para prepararnos, ya que fue entonces cuando el equipo pudo adquirir el equipo para estudiar. Muchos equipos tuvieron que importarse del extranjero y tardaron meses en llegar a Vietnam".

Según otro miembro del equipo, Nguyen Xuan Hoang, "En esta competición participan competidores con una larga trayectoria. Tienen mucha experiencia y son muy fuertes tanto económica como profesionalmente. El equipo VCS está decidido a participar con la preparación más exhaustiva, la unidad y una estrategia adecuada para lograr el mayor éxito posible en la competición de este año".

Hoang añadió que el año pasado, el equipo VCS obtuvo el segundo lugar en esta competición con una puntuación muy cercana a la del campeón, perdiendo por tan solo 2,5 puntos. Por lo tanto, el equipo está decidido a aspirar al campeonato este año.

Pero el camino hacia el campeonato no es sencillo: los objetivos de ataque en esta competición son todos dispositivos y programas informáticos populares en todo el mundo, de fabricantes líderes como Microsoft, Apple, Google, Samsung… - compartió Nguyen Xuan Hoang.

Para cumplir con los requisitos de la competencia, el dispositivo tuvo que ser pedido a Estados Unidos, pero un momento de descuido provocó que funcionara mal porque utilizaba una fuente de alimentación de 110 V adecuada para el mercado estadounidense, mientras que en Vietnam se utiliza electricidad de 220 V.

Según Ngo Anh Huy, miembro que ha participado en esta competición cuatro veces, el mayor temor del equipo son las vulnerabilidades duplicadas o que el fabricante corrija rápidamente los fallos de seguridad que han detectado. El año pasado, el equipo de Viettel solo consiguió el segundo puesto porque fue penalizado por tener una vulnerabilidad duplicada.

Además, surgieron problemas de última hora, ya que los trámites de visado se retrasaron, impidiendo que todo el equipo viajara a Toronto (Canadá) a tiempo para la competición presencial. En su lugar, los 14 miembros del equipo VCS tuvieron que competir en línea, preocupados constantemente por posibles problemas que podrían no resolverse a tiempo durante el partido…

Pero el resultado final habla por sí solo… El equipo VCS no solo ganó el campeonato, sino que además logró una victoria espectacular.

"Cuando ganamos en la final, en la categoría de los 10 mejores, todo el equipo estalló de alegría y felicidad porque habíamos demostrado que este campeonato era una victoria contundente, sin dejar lugar a dudas", recordó con orgullo Nguyen Xuan Hoang aquel momento.

Tras participar en Pwn2Own durante cuatro años consecutivos, el equipo VCS finalmente se alzó con el trofeo del campeonato por primera vez. Esta es una competición de hacking de software y electrónica de consumo que organiza dos veces al año la organización de ciberseguridad Zero Day Initiative, y está considerada una de las competiciones de ciberseguridad más exigentes del mundo.

El Sr. Nguyen Son Hai, director de VCS, afirmó que en 2020 Viettel logró su primera victoria en esta "competencia" en la categoría de Smart TV. En 2021, Viettel se ubicó entre los 5 primeros. En 2022, obtuvo el segundo lugar. Y este año, se alzó con el título de campeón con una abrumadora cantidad de puntos.

En Pwn2Own, la competencia reúne no solo a reconocidos equipos de ciberseguridad de todo el mundo, sino también a importantes fabricantes y corporaciones tecnológicas globales. Cada competencia presenta desafíos relacionados con software o hardware populares, como el sistema operativo Windows, teléfonos Apple, Xiaomi y Samsung, o impresoras Canon y HP, entre otros.

Los equipos deben competir para encontrar vulnerabilidades de seguridad previamente desconocidas en software y dispositivos, y luego demostrar cómo explotar esas vulnerabilidades en directo en un plazo de 30 minutos.

«¿Por qué podemos decir que los competidores no son solo otros grupos de expertos en seguridad, sino también fabricantes de dispositivos como Apple, Xiaomi, Canon, TP-Link...? Porque odian ser acusados ​​de tener vulnerabilidades en sus dispositivos, lo que erosionaría la confianza de los clientes. Estos proveedores de dispositivos siempre tienen un equipo de seguridad y están dispuestos a invertir grandes sumas de dinero para corregir errores en sus productos antes de que se celebre la competencia, para que sus productos no queden desprestigiados ante el público», compartió Nguyen Hong Quang, miembro del equipo de VCS, con el periódico Tuoi Tre .

Por lo tanto, la competencia será intensa desde el momento en que se publiquen las preguntas hasta el último minuto. Es muy posible que los equipos descubran fallos, pero los desarrolladores los corregirán inesperadamente justo antes del día de la competencia, lo que provocará que un equipo pierda todo su esfuerzo y logros.

Por lo tanto, "a medida que se acercaba la hora de la presentación, tuvimos que dividirnos en turnos de día y de noche para 'monitorear' si las vulnerabilidades que habíamos descubierto aún existían y seguir de cerca a los productores para ver si habían corregido los errores que habíamos encontrado", dijo Ngo Anh Huy, un jugador experimentado de Pwn2Own del equipo VCS.

La competición Pwn2Own Toronto 2023 se centra en el hardware, incluyendo categorías como teléfonos móviles, altavoces inteligentes, sistemas de vigilancia, sistemas de almacenamiento en red y electrónica de oficina. Cada categoría ofrece premios que van desde los 30.000 $ hasta los 100.000 $ y una puntuación de 2 a 10 puntos, dependiendo de la dificultad para hackear el dispositivo y del nivel de ejecución de la demostración.

El premio más valioso, tanto en términos de recompensa como de puntos, es la última categoría, una combinación de vulnerabilidades, que requiere que los equipos ejecuten código malicioso en uno de los enrutadores de red proporcionados en la competición y, de este modo, ataquen un dispositivo de las categorías mencionadas anteriormente, con un premio de 100.000 dólares y 10 puntos.

Tras completar las tareas individuales y atacar con éxito los teléfonos Xiaomi 13 Pro, los sistemas de almacenamiento QNAP TS 464, las impresoras Canon imageClass MF753Cdw y los altavoces Sonos Era 100, el equipo VCS logró 20 puntos, asegurando prácticamente el campeonato, ya que su oponente, Sea Security, solo alcanzó 17,25 puntos tras completar tanto las tareas individuales como las combinadas.

Aunque la intensa presión competitiva ha disminuido, la última categoría sigue siendo un obstáculo para los ingenieros de VCS, ya que la falta de puntos en el desafío de mezclas fue la razón por la que no ganaron el campeonato el año pasado. "Esta vez, al entrar en la categoría de mezclas, nos encontramos de nuevo en desventaja al haber sido sorteados para competir más tarde. Si hubiéramos cometido el mismo error que el equipo anterior, habríamos perdido puntos", compartió Ngo Anh Huy. Este error recurrente provocó que VCS quedara a 2,5 puntos del equipo ganador en el torneo Pwn2Own del año pasado.

«Este año, no solo buscamos explotar nuevas vulnerabilidades, sino que también elegimos deliberadamente vulnerabilidades que eran muy difíciles de encontrar y que probablemente no serían replicadas por otros equipos, o que podrían ser fáciles de encontrar pero difíciles de explotar, y que además contaban con múltiples opciones de respaldo. Este es el resultado de tres meses de investigación intensiva por parte de todo el equipo», dijo Huy.

Como resultado, el equipo VCS logró una puntuación perfecta de 10/10 en la categoría combinada y ganó el campeonato general con un total de 30 puntos, superando ampliamente al segundo clasificado por 12,5 puntos, asegurando una victoria espectacular y completa.

«Elegimos Pwn2Own para poner a prueba nuestras habilidades porque es una competición que utiliza los dispositivos más populares del mundo, de fabricantes líderes y con rigurosos procedimientos de prueba», declaró Nguyen Son Hai, director de VCS. «Invertir en un equipo de investigación especializado y poner a prueba nuestras habilidades en el ámbito internacional forma parte de los esfuerzos de VCS por desarrollar el capital humano».

La trayectoria del equipo VCS hacia el campeonato Pwn2Own 2023 es la culminación de un largo y arduo esfuerzo, un vívido testimonio de la visión de liderazgo que Viettel Group ha mantenido durante mucho tiempo en el campo de la seguridad de la información.

Hace más de una década, cuando el director de VCS, Nguyen Son Hai, tenía la misma edad que tienen ahora los miembros del equipo campeón de Pwn2Own 2023, la dirección del Grupo Viettel estaba decidida a invertir en el campo de la seguridad de la información.

Viettel sembró desde el principio las primeras semillas de un campo incipiente, y estas recibieron una inversión y un cuidado sistemáticos y estratégicos.

La trayectoria de investigación exhaustiva de VCS comenzó en sus inicios, con tan solo seis personas trabajando inicialmente en seguridad de la información. Desde 2011, el equipo de VCS ha llevado a cabo ataques simulados con unidades del Grupo Viettel para identificar vulnerabilidades de seguridad.

«Dado que gestionamos infraestructuras críticas, la visión de Viettel es considerar la investigación en ciberseguridad como un pilar fundamental», afirmó el Sr. Son Hai. «En ciberseguridad, las personas son el factor más importante. Incluso utilizando los mejores productos del mundo, si solo se usan como usuarios finales, el riesgo de ataque sigue siendo muy alto, mientras que las infraestructuras críticas, como los servicios móviles y de internet de Viettel, son objetivo de ataques de los grupos más grandes del mundo».

Para formar un equipo de expertos que proteja la infraestructura crítica, VCS tiene como objetivo capacitar a personal de ciberseguridad con capacidades equivalentes a los estándares internacionales. Desde 2015 hasta la fecha, Viettel y VCS han capacitado a 450 estudiantes, de los cuales el 5% de los candidatos más idóneos han sido contratados para continuar trabajando, afirmó el Sr. Hai.

«Tras conformar un equipo de expertos e invertir sistemáticamente en investigación exhaustiva, seguimos buscando maneras de invertir en el perfeccionamiento de las habilidades ofensivas del equipo de expertos de VCS. La participación en competiciones de talla mundial también contribuye a este objetivo», declaró el Sr. Nguyen Son Hai.

En 2013, VCS comenzó a investigar las vulnerabilidades de día cero: vulnerabilidades desconocidas y sin parchear, y por lo tanto, las más costosas de explotar. Anh Huy y Hong Quang fueron de los primeros especialistas en hacerlo. Para 2015, el equipo de VCS había encontrado sus primeras vulnerabilidades y, hasta la fecha, el número de vulnerabilidades descubiertas por VCS ha alcanzado las 400.

"Ninguna empresa vietnamita ha alcanzado semejante cifra, y tampoco hay muchas en el mundo", afirmó el Sr. Hai.

La oportunidad de formación a través de la participación en investigaciones exhaustivas es la razón por la que VCS es un lugar de trabajo atractivo para los expertos en ciberseguridad que acaban de ganar el primer premio en Pwn2Own. Cuando se le preguntó por qué eligió Viettel, Anh Huy dijo: "Según mi experiencia, no muchas empresas están dispuestas a invertir a largo plazo en investigación y equipos de investigación en ciberseguridad".

"Especialmente en el ámbito de la ciberseguridad, el factor humano es el más importante. Por ello, VCS siempre se preocupa por capacitar y perfeccionar a su equipo, así como por formar generaciones sucesivas de personal altamente cualificado, siempre preparado para afrontar retos de nivel internacional", destacó el director de VCS, Nguyen Son Hai.

En la ceremonia de entrega de premios, el presidente y director ejecutivo del Grupo Viettel, Tao Duc Thang, felicitó a los miembros del equipo por su participación en la competición y expresó su orgullo por los "hackers éticos" de Viettel. Afirmó: "En Viettel nos enorgullece que el equipo VCS haya ganado un prestigioso premio en el campo de la ciberseguridad global, compitiendo con los principales fabricantes de equipos a nivel mundial, que cuentan con grandes unidades de I+D".

El director del Grupo Viettel afirmó que "Pwn2Own es una competición prestigiosa con un nivel de dificultad muy alto para cualquier hacker. La competición se asemeja a una 'batalla' contra fabricantes que cuentan con los mejores equipos de seguridad informática del mundo, listos para contraatacar a los hackers hasta el último minuto. Es un juego sin límite de edad, e incluso puede involucrar colaboraciones multinacionales...". Por lo tanto, el Sr. Tao Duc Thang declaró: "Ganar el campeonato Pwn2Own 2023 ha traído gloria a Viettel y a Vietnam en el escenario internacional", dijo con orgullo el presidente del grupo.

El presidente Cao Duc Thang también reconoció que el campo de la ciberseguridad es vasto, que el camino para los expertos de Viettel es largo y que hay muchos desafíos por delante.

"Mantener la primera posición no es fácil, por lo que debemos seguir esforzándonos y tener grandes sueños, trabajando constantemente para convertirlos en realidad y así dar a conocer Vietnam al mundo", enfatizó el Sr. Tao Duc Thang.

El presidente del Grupo Viettel también compartió que, en el futuro, el Grupo contará con políticas específicas para capacitar recursos humanos de alta calidad, de modo que puedan seguir dedicándose a su trabajo con tranquilidad.

Al asignar tareas a VCS, el Sr. Tao Duc Thang hizo hincapié en que VCS necesita seguir formando a más expertos en seguridad, centrándose en capacitar a la próxima generación con la mejor base para servir no solo a la corporación sino también al país, protegiendo a la nación en el ciberespacio.