A más de la 1:00 a.m. del 27 de octubre, en la sala aún iluminada de Viettel Cyber Security Company (VCS), 14 miembros del equipo VCS explotaron de alegría: el equipo ganó el campeonato de la competencia de ataques cibernéticos más grande y prestigiosa del mundo Pwn2Own 2023.
¡No fue sólo el resultado esperado de tres meses de trabajo continuo día y noche por parte de todo el equipo y de una competición resistente contra los oponentes más fuertes de todo el mundo !
¡Esta no es sólo la primera fruta dulce para el miembro más joven del equipo, Do Anh Dung, nacido en 2003, actualmente estudiante de tercer año en la Universidad de Tecnología (VNU)!
No es solo el deseo de alcanzar la posición más alta de la competición para miembros como Ngo Anh Huy, Nguyen Xuan Hoang, Nguyen Hong Quang… ¡quienes han probado suerte en este torneo durante varios años!
También es un honor llevar al país a la posición más alta en una de las competiciones más prestigiosas del mundo, afirmando la capacidad del pueblo vietnamita en el campo de la seguridad y protección de la información.
Y, sobre todo, es el fruto de las semillas que Viettel sembró con constancia hace muchos años. Hoy, Viettel, con VCS y un equipo de expertos en seguridad de la información a su disposición, puede enorgullecerse de ser una de las empresas líderes mundiales en seguridad de la información.
Los 14 miembros del equipo VCS que ganó el campeonato Pwn2Own 2023 son muy jóvenes. La mayoría pertenecen a la generación 9x; el miembro más joven nació en 2003.
Pero la mayoría del equipo lleva muchos años luchando y cuenta con una amplia experiencia y logros en el campo de la seguridad de la información. Incluso el miembro más joven, Do Anh Dung, ya ha demostrado su valía: Dung es quien creó un milagro en esta competición, al ganar una categoría que contribuyó a los resultados generales del equipo.
Al final de la ronda final en la noche del 27 de octubre, el equipo de Viettel Cyber Security (VCS) ganó oficialmente la puntuación más alta con 30 puntos Master of Pwn, dejando la brecha con el equipo del segundo lugar en 12,75 puntos.
Con este convincente resultado, VCS se aseguró el título del campeonato frente a muchos oponentes internacionales que eran considerados fuertes candidatos al campeonato del torneo, como Sea Security (Singapur), Vupen, Synacktiv (Francia) y Devcore (Taiwán, el equipo campeón del año pasado).
Al compartir sobre los desafíos durante la preparación para la competencia, Ha Anh Hoang, miembro del equipo VCS, comentó: «Tres meses antes de la competencia, el Comité Organizador anunció los dispositivos que se iban a conquistar. Por lo tanto, el tiempo de preparación fue de solo tres meses, ya que en ese momento el equipo acababa de adquirir los dispositivos para la investigación. Muchos de ellos tuvieron que importarse del extranjero y tardaron un mes entero en llegar a Vietnam».
Según otro miembro del equipo, Nguyen Xuan Hoang: «La competencia cuenta con competidores con una larga trayectoria. Poseen amplia experiencia y son muy fuertes tanto financiera como profesionalmente. El equipo VCS está decidido a participar con la preparación más meticulosa, solidaridad y una estrategia de competición adecuada para alcanzar el máximo éxito en la competencia de este año».
Hoang añadió que el año pasado, el equipo VCS obtuvo el segundo lugar en esta competencia con un puntaje muy cercano al del campeón, perdiendo por tan solo 2.5 puntos. Por lo tanto, el equipo está decidido a aspirar al campeonato este año.
Pero el camino hacia el campeonato no es sencillo: los objetivos de ataque en esta competición son todos los dispositivos y software más populares del mundo, de fabricantes líderes como Microsoft, Apple, Google, Samsung... - compartió Nguyen Xuan Hoang.
Para cumplir con los requisitos del concurso, el dispositivo tuvo que ser pedido a los EE. UU., pero en un momento de descuido, el dispositivo "murió" porque usaba una fuente de alimentación de 110 V adecuada para el mercado estadounidense, mientras que Vietnam usa 220 V.
Según Ngo Anh Huy, miembro que ha participado en esta competencia cuatro veces, el mayor temor del equipo son los errores duplicados o que el fabricante no tenga tiempo de reparar las vulnerabilidades de seguridad que el equipo registró. El año pasado, el equipo Viettel participó en la competencia y solo obtuvo el segundo lugar porque se les restaron puntos por tener una vulnerabilidad duplicada.
Además, el desafío llegó en el último minuto. Debido al retraso en la visa, todo el equipo no pudo llegar a Toronto (Canadá) a tiempo para competir en persona. En cambio, los 14 miembros del equipo VCS tuvieron que competir en línea, con muchas preocupaciones por posibles problemas que no se podrían resolver durante la competencia...
Pero el resultado final lo dijo todo… El equipo VCS no sólo ganó, sino que además ganó espectacularmente.
"Cuando ganamos la categoría final de los 10 puntos más altos, todo el equipo estalló en alegría y felicidad porque habíamos demostrado que este campeonato era una victoria convincente, sin ninguna duda", recordó con orgullo Nguyen Xuan Hoang ese momento.
Tras participar ininterrumpidamente en Pwn2Own durante los últimos cuatro años, el equipo VCS ha ganado el campeonato Pwn2Own por primera vez. Se trata de una competición de ataques a software y electrónica de consumo que organiza dos veces al año la organización de ciberseguridad Zero Day Initiative, una de las competiciones de ciberseguridad más difíciles del mundo actual.
El Sr. Nguyen Son Hai, director de VCS, comentó que en 2020, Viettel obtuvo su primera victoria en este campo de juego con la categoría de SmartTV. En 2021, Viettel entró en el Top 5. En 2022, quedó en segundo lugar. Y este año, se alzó con el campeonato con una puntuación abrumadora.
En Pwn2Own compiten no solo equipos de ciberseguridad de renombre mundial, sino también grandes fabricantes y corporaciones tecnológicas de todo el mundo. Cada examen incluirá preguntas sobre dispositivos de software o hardware populares, como el sistema operativo Windows, teléfonos Apple, Xiaomi y Samsung, o impresoras Canon y HP.
Los equipos compiten para encontrar vulnerabilidades de seguridad desconocidas en software y dispositivos y deben demostrar la explotación en vivo de esas vulnerabilidades en 30 minutos.
"¿Por qué podemos decir que los oponentes no son solo otros grupos de expertos en seguridad, sino también fabricantes de dispositivos como Apple, Xiaomi, Canon, TP Link...? Porque detestan que se sepa que tienen vulnerabilidades en sus dispositivos, lo que les hace perder la confianza de los clientes. Estos proveedores de dispositivos siempre cuentan con un equipo de seguridad y están dispuestos a pagar grandes sumas de dinero para corregir los errores de sus productos antes de que llegue la competencia, para que no queden desprestigiados ante el público", comentó el experto Nguyen Hong Quang, miembro del equipo VCS, a Tuoi Tre .
Por lo tanto, la competencia será intensa desde el inicio hasta el último minuto. Es muy posible que los equipos descubran las vulnerabilidades, pero que el fabricante las parchee repentinamente justo antes del día de la competencia, lo que provocará que un equipo pierda todos sus esfuerzos y logros.
Por lo tanto, "más cerca del momento del rendimiento, tuvimos que tomar turnos día y noche para "observar" si las vulnerabilidades que descubrimos todavía existían o no, y monitorear de cerca al fabricante para ver si parcheaban los errores que descubrimos o no", dijo Ngo Anh Huy, un experimentado jugador de Pwn2Own del equipo VCS.
La competencia Pwn2Own 2023 de Toronto se centra en hardware, incluyendo categorías como teléfonos móviles, altavoces inteligentes, sistemas de vigilancia, sistemas de almacenamiento en red y electrónica de oficina. Cada categoría ofrece premios que van desde $30,000 hasta $100,000 y puntuaciones que varían de 2 a 10 puntos, según la dificultad del dispositivo y el nivel de ejecución de la demostración de ataque.
La categoría más valiosa, tanto en premios como en puntos, es la final, mash-up, que requiere que los equipos ejecuten un código de explotación en uno de los enrutadores de red de la competencia y así atacar un dispositivo de las categorías mencionadas, por un premio de $100,000 y 10 puntos.
Después de completar las categorías individuales, atacando con éxito los dispositivos telefónicos Xiaomi 13 Pro, el sistema de almacenamiento QNAP TS 464, la impresora Canon imageClass MF753Cdw, el altavoz Sonos Era 100, el equipo VCS obtuvo 20 puntos, casi seguro de ganar el campeonato porque el oponente Sea Security solo obtuvo 17,25 puntos, después de completar todas las categorías individuales y la categoría combinada.
Ya no hay tanta presión competitiva, pero la categoría final sigue atormentando a los ingenieros de VCS, ya que la falta de puntos en la competición de mash-up fue la razón por la que este equipo no logró ganar el campeonato el año pasado. "Esta vez, al entrar en la categoría de mash-up, seguimos en desventaja en el sorteo de la siguiente ronda. Si cometemos el mismo error que el equipo anterior, se nos descontarán puntos", compartió Ngo Anh Huy. Este error de duplicación provocó que VCS quedara 2,5 puntos por detrás del equipo que obtuvo el primer puesto en el Pwn2Own del año pasado.
Este año no solo intentamos explotar nuevas vulnerabilidades, sino que también elegimos deliberadamente vulnerabilidades muy difíciles de encontrar y de solapar con otros equipos, o fáciles de encontrar pero difíciles de explotar, además de contar con numerosos planes de contingencia. Este es el resultado de tres meses de investigación exhaustiva por parte de todo el equipo —dijo Huy—.
Como resultado, el equipo VCS obtuvo 10/10 puntos en la categoría combinada y ganó el campeonato general con una puntuación total de 30, 12,5 puntos más que el subcampeón, ganando de manera espectacular y completa.
"Elegimos Pwn2Own para poner a prueba nuestras habilidades porque se trata de una competencia con los dispositivos más populares del mundo, de fabricantes líderes con un estricto proceso de pruebas", declaró el Sr. Nguyen Son Hai, director de VCS. "Invertir en un equipo de investigación especializado y ponernos a prueba a nivel internacional forma parte de los esfuerzos de VCS por desarrollar recursos humanos".
El viaje del equipo VCS hacia el campeonato Pwn2Own 2023 es el resultado de un largo viaje heredado, una vívida demostración de la visión de hace muchos años de los líderes de Viettel Group en el campo de la seguridad de la información.
Hace más de una década, cuando el director de VCS, Nguyen Son Hai, todavía tenía la misma edad que los miembros del equipo actual campeón de Pwn2Own 2023, los líderes de Viettel Group estaban decididos a invertir en el campo de la seguridad de la información.
Las primeras semillas de un campo joven fueron rápidamente plantadas y cuidadas por Viettel de manera sistemática y estratégica.
La profunda trayectoria de investigación de VCS comenzó en sus primeros años, con tan solo seis personas trabajando inicialmente en seguridad de la información. Desde 2011, el equipo de VCS ha realizado simulacros de ataques con unidades del Grupo Viettel para identificar problemas de seguridad.
"Debido a la operación de infraestructuras críticas, Viettel tiene una visión de investigación que considera la seguridad de la red como un pilar", afirmó el Sr. Son Hai. "En la seguridad de la red, las personas son el factor más importante. Incluso utilizando los mejores productos del mundo, pero solo como usuario final, el riesgo de ser atacado sigue siendo muy alto, mientras que las infraestructuras críticas de Viettel, como la telefonía móvil e internet, son blanco de ataques de los grupos más grandes del mundo".
Para contar con un equipo de expertos que proteja la infraestructura crítica, VCS busca capacitar personal de ciberseguridad con una capacidad equivalente a la del resto del mundo. Desde 2015, Viettel y VCS han capacitado a 450 estudiantes, de los cuales el 5% del personal más idóneo ha sido contratado para continuar trabajando, afirmó el Sr. Hai.
Tras formar un equipo de expertos e invertir en investigación exhaustiva, seguimos buscando maneras de mejorar las habilidades de ataque del equipo de expertos de VCS. Participar en competiciones de talla mundial también cumple este propósito, afirmó el Sr. Nguyen Son Hai.
En 2013, VCS comenzó a investigar vulnerabilidades de día cero, vulnerabilidades desconocidas y sin parchear, y por lo tanto las más costosas. Anh Huy y Hong Quang también fueron dos de los primeros especialistas. Para 2015, el equipo de VCS detectó las primeras vulnerabilidades y, hasta la fecha, el número de vulnerabilidades detectadas por VCS asciende a 400.
"Ninguna empresa vietnamita ha alcanzado tal cifra, y tampoco muchas en el mundo", afirmó Hai.
La oportunidad de capacitarse participando en investigaciones exhaustivas es la razón por la que VCS se ha convertido en un lugar de trabajo atractivo para los expertos en ciberseguridad, quienes recientemente obtuvieron el primer lugar en Pwn2Own. Al preguntársele por qué eligió Viettel, Anh Huy respondió: «En mi experiencia, no muchas empresas están dispuestas a invertir a largo plazo en investigación y equipos de investigación en ciberseguridad».
"En particular, en el ámbito de la ciberseguridad, el factor humano es fundamental. Por ello, VCS siempre está pendiente de la capacitación, el desarrollo del equipo y la formación de la próxima generación de personal altamente cualificado, siempre preparado para afrontar los retos internacionales", enfatizó el director de VCS, Nguyen Son Hai.
En la ceremonia de homenaje y felicitación a los miembros del equipo que participaron en la competencia, el presidente y director general del Grupo Viettel, Tao Duc Thang, expresó su orgullo por los hackers de sombrero blanco de Viettel. Afirmó: «Viettel se enorgullece de que el equipo VCS haya ganado el prestigioso premio en el campo de la ciberseguridad global, compitiendo con los principales fabricantes de equipos del mundo con grandes unidades de I+D».
El director del Grupo Viettel afirmó: «Pwn2Own es una competición prestigiosa con un nivel de dificultad muy alto para cualquier hacker. La competición se asemeja a una 'batalla' entre fabricantes que poseen los mejores equipos de seguridad informática del mundo, listos para responder a los hackers hasta el último minuto. Un juego sin límite de edad, que incluso puede implicar una cooperación multinacional...». Por ello, el Sr. Tao Duc Thang afirmó: «El campeonato Pwn2Own 2023 ha dado fama internacional a Viettel y a Vietnam», afirmó con orgullo el presidente del grupo.
El presidente Tao Duc Thang también reconoció que el campo de la seguridad cibernética es enorme, un largo camino para los expertos de Viettel y que hay muchos desafíos por delante.
"Mantener el primer puesto no es fácil, por lo que debemos seguir trabajando más duro y tener grandes sueños, anhelando constantemente hacer realidad el sueño de llevar a Vietnam al mundo", enfatizó el Sr. Tao Duc Thang.
El presidente del Grupo Viettel también compartió que en el próximo tiempo, el Grupo tendrá políticas especiales para capacitar recursos humanos de alta calidad, para que puedan continuar dedicándose con confianza a su trabajo.
Al asignar la tarea a VCS, el Sr. Tao Duc Thang enfatizó que VCS necesita continuar capacitando a más expertos en seguridad, decidido a capacitar a la próxima generación con la mejor base para servir no solo a la corporación sino también para servir al país, protegiendo a la nación en el ciberespacio.
Kommentar (0)