Viettel 'Hacker' pone su nombre en el mapa mundial

Pasada la 1:00 de la madrugada del 27 de octubre, en la sala aún iluminada de Viettel Cyber ​​Security Company (VCS), 14 miembros del equipo de VCS estallaron de alegría: el equipo ganó el campeonato de la competición de ciberataques más grande y prestigiosa del mundo, Pwn2Own 2023.

¡No fue solo el resultado esperado de tres meses de trabajo continuo día y noche por parte de todo el equipo y de una competencia tenaz contra los oponentes más fuertes de todo el mundo !

¡Esa no es solo la primera fruta dulce para el miembro más joven del equipo, Do Anh Dung, nacido en 2003 y actualmente estudiante de tercer año en la Universidad Tecnológica (VNU)!

No se trata solo del deseo de alcanzar la posición más alta en la competición para miembros como Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… ¡que han probado suerte en este torneo durante varios años!

También es un honor brindar al país la posición más alta en una de las competencias más prestigiosas del mundo, lo que reafirma la capacidad del pueblo vietnamita en el campo de la seguridad de la información.

Y, sobre todo, es el fruto cosechado de las semillas que Viettel sembró con constancia hace muchos años. A día de hoy, Viettel, con VCS y un equipo de expertos en seguridad informática, puede enorgullecerse de ser una de las empresas líderes mundiales en seguridad y protección de la información.

Los 14 miembros del equipo VCS que ganó el campeonato Pwn2Own 2023 son todos muy jóvenes. La mayoría pertenecen a la generación del 9x; el miembro más joven nació en 2003.

Pero la mayoría del equipo lleva muchos años trabajando en el sector, con una amplia experiencia y numerosos logros en el ámbito de la seguridad informática. Incluso el miembro más joven, Do Anh Dung, ya ha demostrado su valía: Dung fue quien obró el milagro en esta competición, ganando una categoría que contribuyó al éxito general del equipo.

Al final de la ronda final en la noche del 27 de octubre, el equipo de Viettel Cyber ​​​​Security (VCS) ganó oficialmente el puntaje más alto con 30 puntos Master of Pwn, dejando una diferencia con el equipo en segundo lugar de 12,75 puntos.

Con este contundente resultado, VCS se alzó con el título de campeón frente a numerosos rivales internacionales, considerados fuertes candidatos al campeonato del torneo, como Sea Security (Singapur), Vupen, Synacktiv (Francia) y Devcore (Taiwán, equipo campeón del año pasado)...

Al hablar sobre los desafíos durante la preparación para la competencia, Ha Anh Hoang, miembro del equipo VCS, comentó: «Tres meses antes de la competencia, el Comité Organizador anunció los dispositivos que debíamos probar. Por lo tanto, el tiempo de preparación fue de tan solo tres meses, ya que en ese momento el equipo acababa de adquirir los dispositivos para la investigación. Muchos de ellos tuvieron que ser importados y tardaron un mes entero en llegar a Vietnam».

Según otro miembro del equipo, Nguyen Xuan Hoang: «La competencia cuenta con participantes que llevan mucho tiempo compitiendo. Tienen mucha experiencia y, además, son competidores muy fuertes tanto a nivel financiero como profesional. El equipo VCS está decidido a participar con la máxima preparación, solidaridad y una estrategia de competencia adecuada para lograr el mayor éxito posible en la competencia de este año».

Hoang añadió que el año pasado, el equipo VCS obtuvo el segundo lugar en esta competición con una puntuación muy cercana a la del equipo campeón, perdiendo solo por 2,5 puntos. Por lo tanto, el equipo está decidido a luchar por el campeonato este año.

Pero el camino hacia el campeonato no es sencillo: los objetivos de ataque en esta competición son todos los dispositivos y programas informáticos más populares del mundo, de fabricantes líderes como Microsoft, Apple, Google, Samsung... - compartió Nguyen Xuan Hoang.

Para cumplir con los requisitos del concurso, el dispositivo tuvo que ser pedido a Estados Unidos, pero en un momento de descuido, el dispositivo "falló" porque utilizaba una fuente de alimentación de 110 V adecuada para el mercado estadounidense, mientras que Vietnam utiliza 220 V.

Según Ngo Anh Huy, miembro del equipo que ha participado en esta competición cuatro veces, su mayor temor son los errores duplicados o que el fabricante no tenga tiempo de corregir las vulnerabilidades de seguridad que han detectado. El año pasado, el equipo de Viettel participó en la competición y solo obtuvo el segundo puesto, ya que se le descontaron puntos por tener una vulnerabilidad duplicada.

No solo eso, sino que el desafío surgió a último momento: debido a la demora en la visa, todo el equipo no pudo llegar a Toronto (Canadá) a tiempo para competir en persona. En cambio, los 14 miembros del equipo VCS tuvieron que competir en línea, con la incertidumbre de posibles problemas que no se podrían resolver durante la competencia.

Pero el resultado final lo dijo todo… El equipo VCS no solo ganó, sino que ganó de forma espectacular.

"Cuando ganamos la categoría final de los 10 puntos más altos, todo el equipo estalló de alegría y felicidad porque habíamos demostrado que este campeonato era una victoria convincente, sin ninguna duda", recordó con orgullo Nguyen Xuan Hoang aquel momento.

Tras participar ininterrumpidamente en Pwn2Own durante los últimos cuatro años, el equipo de VCS ha ganado el campeonato por primera vez. Se trata de una competición de ataques a software y electrónica de consumo, organizada dos veces al año por la organización de ciberseguridad Zero Day Initiative, y considerada una de las competiciones de ciberseguridad más exigentes del mundo.

El Sr. Nguyen Son Hai, Director de VCS, declaró que en 2020 Viettel obtuvo su primera victoria en este competitivo mercado con la categoría Smart TV. En 2021, Viettel se posicionó entre los cinco primeros. En 2022, alcanzó el segundo lugar. Y este año, se alzó con el campeonato con una puntuación arrolladora.

En Pwn2Own compiten no solo los equipos de ciberseguridad más famosos del mundo, sino también grandes fabricantes y corporaciones tecnológicas de todo el planeta. Cada examen incluirá preguntas sobre software o hardware populares, como el sistema operativo Windows, teléfonos Apple, Xiaomi y Samsung, o impresoras Canon y HP.

Los equipos compiten para encontrar vulnerabilidades de seguridad desconocidas en software y dispositivos, y deben demostrar la explotación real de esas vulnerabilidades en un plazo de 30 minutos.

«¿Por qué podemos afirmar que los adversarios no son solo otros grupos de expertos en seguridad, sino también fabricantes de dispositivos como Apple, Xiaomi, Canon, TP-Link...? Porque detestan que se sepa que sus dispositivos tienen vulnerabilidades y pierden la confianza de los clientes. Estos proveedores de dispositivos siempre cuentan con un equipo de seguridad y están dispuestos a invertir grandes sumas de dinero para corregir los errores de sus productos antes de que comience la competencia, para así evitar que sus productos queden desacreditados ante el público», compartió con Tuoi Tre el experto Nguyen Hong Quang, miembro del equipo de VCS.

Por lo tanto, la competencia será intensa desde el principio hasta el último minuto. Es muy posible que los equipos descubran las vulnerabilidades, pero que el fabricante las corrija justo antes del día de la competencia, lo que provocaría que un equipo pierda todo su esfuerzo y sus logros.

Por lo tanto, "a medida que se acercaba la fecha de la presentación, tuvimos que hacer turnos de día y de noche para 'vigilar' y ver si las vulnerabilidades que habíamos descubierto seguían existiendo o no, y monitorear de cerca al fabricante para ver si habían corregido los errores que habíamos descubierto o no", dijo Ngo Anh Huy, un jugador experimentado de Pwn2Own del equipo VCS.

La competencia Pwn2Own 2023 de Toronto se centra en el hardware, incluyendo categorías como teléfonos móviles, altavoces inteligentes, sistemas de vigilancia, sistemas de almacenamiento en red y electrónica de oficina. Cada categoría ofrece premios que van desde los 30.000 $ hasta los 100.000 $ y puntuaciones de 2 a 10 puntos, dependiendo de la dificultad del dispositivo y el nivel de detalle de la demostración del ataque.

La categoría más valiosa, tanto en premios como en puntos, es la categoría final, mash-up, que requiere que los equipos ejecuten código de explotación en uno de los enrutadores de red proporcionados por la competencia y, de ese modo, ataquen un dispositivo en las categorías antes mencionadas, por un premio de 100.000 dólares y 10 puntos.

Tras completar las categorías individuales y atacar con éxito los dispositivos móviles Xiaomi 13 Pro, el sistema de almacenamiento QNAP TS 464, la impresora Canon imageClass MF753Cdw y el altavoz Sonos Era 100, el equipo VCS obtuvo 20 puntos, lo que prácticamente le asegura la victoria en el campeonato, ya que su oponente, Sea Security, solo consiguió 17,25 puntos tras completar todas las categorías individuales y la categoría combinada.

Ya no existe tanta presión competitiva, pero la categoría final aún atormenta a los ingenieros de VCS, pues la falta de puntos en la competición de mash-up fue la razón por la que este equipo no logró el campeonato el año pasado. «Esta vez, al participar en la categoría de mash-up, seguimos en desventaja en el sorteo para la siguiente ronda; si cometemos el mismo error que el equipo anterior, se nos descontarán puntos», explicó Ngo Anh Huy. Este error de duplicación provocó que VCS quedara a 2,5 puntos del equipo que se alzó con el primer puesto en el Pwn2Own del año pasado.

"Este año no solo intentamos explotar nuevas vulnerabilidades, sino que también elegimos deliberadamente vulnerabilidades que eran muy difíciles de encontrar y difíciles de superponer con otros equipos, o que eran fáciles de encontrar pero difíciles de explotar, además de tener muchos planes de respaldo. Este es el resultado de tres meses de investigación enfocada por todo el equipo", dijo Huy.

Como resultado, el equipo VCS obtuvo 10/10 puntos en la categoría combinada y ganó el campeonato general con un puntaje total de 30, 12,5 puntos más que el subcampeón, ganando de manera espectacular y completa.

«Elegimos Pwn2Own para poner a prueba nuestras habilidades porque se trata de una competición que utiliza los dispositivos más populares del mundo, de fabricantes líderes y con un riguroso proceso de pruebas», declaró Nguyen Son Hai, director de VCS. «Invertir en un equipo de investigación especializado y ponernos a prueba en el ámbito internacional forma parte de los esfuerzos de VCS por desarrollar su capital humano».

La trayectoria del equipo VCS hacia el campeonato Pwn2Own 2023 es el resultado de un largo camino heredado, una vívida demostración de la visión que tuvieron hace muchos años los líderes del Grupo Viettel en el campo de la seguridad de la información.

Hace más de una década, cuando el director de VCS, Nguyen Son Hai, tenía la misma edad que los actuales miembros del equipo campeón de Pwn2Own 2023, los líderes del Grupo Viettel estaban decididos a invertir en el campo de la seguridad de la información.

Las primeras semillas del joven campo fueron plantadas y cuidadas de forma sistemática y estratégica por Viettel.

La trayectoria de investigación exhaustiva de VCS comenzó en sus primeros años, cuando inicialmente solo seis personas trabajaban en seguridad de la información. Desde 2011, el equipo de VCS ha realizado simulacros de ataques con unidades dentro del Grupo Viettel para destacar problemas de seguridad.

«Debido a que gestiona infraestructuras críticas, Viettel tiene una visión de investigación que considera la seguridad de la red como un pilar fundamental», afirmó el Sr. Son Hai. «En seguridad de redes, las personas son el factor más importante. Incluso utilizando los mejores productos del mundo, pero solo como usuario final, el riesgo de sufrir un ataque sigue siendo muy elevado, mientras que las infraestructuras críticas de Viettel, como las redes móviles e Internet, son objetivo de ataques por parte de los grupos más grandes del mundo».

Para contar con un equipo de expertos que proteja la infraestructura crítica, VCS se propone capacitar personal de ciberseguridad con una capacidad equivalente a la de los mejores del mundo. Desde 2015 hasta la fecha, Viettel y VCS han capacitado a 450 estudiantes, de los cuales el 5% del personal más idóneo ha sido contratado para continuar trabajando, afirmó el Sr. Hai.

"Tras formar un equipo de expertos e invertir en investigación exhaustiva, seguimos buscando formas de invertir para mejorar las habilidades de ataque del equipo de expertos de VCS. Participar en competiciones de talla mundial también tiene este propósito", afirmó el Sr. Nguyen Son Hai.

En 2013, VCS comenzó a investigar vulnerabilidades de día cero, aquellas desconocidas y sin parchear, y por lo tanto las más costosas. Anh Huy y Hong Quang fueron dos de los primeros especialistas en este campo. Para 2015, el equipo de VCS había encontrado las primeras vulnerabilidades y, hasta la fecha, ha detectado 400.

"Ninguna empresa vietnamita ha alcanzado esa cifra, y tampoco muchas en el mundo", dijo el Sr. Hai.

La oportunidad de formarse mediante la participación en investigaciones exhaustivas es la razón por la que VCS se ha convertido en un lugar de trabajo atractivo para expertos en ciberseguridad, quienes recientemente obtuvieron el primer puesto en Pwn2Own. Al preguntarle por qué eligió Viettel, Anh Huy comentó: «Según mi experiencia, no muchas empresas están dispuestas a invertir a largo plazo en investigación y equipos de investigación en ciberseguridad».

“Especialmente en el campo de la ciberseguridad, el factor humano es el más importante. Por lo tanto, VCS siempre está atenta a la capacitación, la mejora del equipo y la formación de la próxima generación de personal altamente calificado, siempre preparado para los problemas internacionales”, enfatizó el director de VCS, Nguyen Son Hai.

En la ceremonia de homenaje a los miembros del equipo que participaron en la competición, el presidente y director general del Grupo Viettel, Tao Duc Thang, expresó su orgullo por los hackers éticos de Viettel. Afirmó: «Viettel se enorgullece de que el equipo VCS haya ganado este prestigioso premio en el ámbito de la ciberseguridad global, compitiendo con los principales fabricantes de equipos del mundo, que cuentan con grandes unidades de I+D».

El director del Grupo Viettel afirmó que "Pwn2Own es una prestigiosa competición con un altísimo nivel de dificultad para cualquier hacker. La competición se asemeja a una 'batalla' contra fabricantes que cuentan con los mejores equipos de seguridad informática del mundo, preparados para responder a los hackers hasta el último minuto. Un juego sin límite de edad, que incluso puede implicar la cooperación multinacional...". Por lo tanto, el Sr. Tao Duc Thang declaró con orgullo: "El campeonato Pwn2Own 2023 ha dado renombre a Viettel y a Vietnam en el ámbito internacional".

El presidente Tao Duc Thang también reconoció que el campo de la ciberseguridad es enorme, que queda un largo camino por recorrer para los expertos de Viettel y que hay muchos desafíos por delante.

"Mantener el primer puesto no es fácil, por lo que debemos seguir trabajando más duro y tener grandes sueños, anhelando constantemente hacer realidad el sueño de llevar a Vietnam al mundo", enfatizó el Sr. Tao Duc Thang.

El presidente del Grupo Viettel también compartió que, en el futuro, el Grupo contará con políticas especiales para capacitar recursos humanos de alta calidad, de modo que puedan seguir dedicándose con confianza a su trabajo.

Al encomendar la tarea a VCS, el Sr. Tao Duc Thang hizo hincapié en que VCS necesita seguir formando a más expertos en seguridad, con la firme intención de capacitar a la próxima generación con la mejor base para servir no solo a la corporación, sino también al país, protegiendo a la nación en el ciberespacio.