Siempre que leo sobre una competencia de ciberseguridad, siempre me pregunto, ya que casi todos los involucrados son profesionales de la seguridad, ¿pueden estos ejercicios ser realistas? Uno de los enlaces más débiles en cualquier sistema de información es el usuario; ¿Cómo puede una competencia simular los efectos de la ingeniería social? ¿Encuentran un grupo de personas al azar para actuar como usuarios de la red? ¿Se agregan en los confederados que intencionalmente hacen clic en todo?
No estoy seguro de que entiendas los tipos comunes de competiciones de seguridad. La mayoría son específicamente para profesionales de la seguridad y no tienen nada que ver con lo que haría un usuario que no es consciente de la seguridad.
Algunos ejemplos: descubrir cómo explotar vulnerabilidades raras o difíciles de encontrar, vincular distintas vulnerabilidades, escribir días cero, identificar sistemas a partir de información limitada, etc.
La simulación de los efectos de los usuarios que hacen clic al azar en las cosas es mayormente irrelevante para esas competiciones, y no es lo que consideraría ingeniería social de todos modos.
Dicho esto, algunas competiciones permiten la ingeniería social como técnica, lo que le otorga puntos por información / trofeos recopilados por medios no técnicos (es decir, mentir, hacer trampas, obtener acceso físico, etc.)
El objetivo de esas competiciones no es realizar un ataque como si fuera real, donde se puede engañar al usuario para que regale datos, sino que es una competencia que muestra quién es el equipo más rápido que encuentra datos específicos (marca) utilizando medios técnicos. .
Como ejemplo, míralo como si fuera un juego de guerra en línea (hackthissite, hackthis ...) pero jugado como un equipo.
Participé en un CTF en particular, Air Raid organizado por ThinkSECURE, galardonado con "ingeniería social" de dos maneras.
La primera forma es otorgar puntos para obtener las etiquetas de participantes de otros equipos. Cada miembro del equipo recibe una etiqueta al comienzo de la competencia. La etiqueta es necesaria al reclamar puntos de los maestros del juego para completar ciertas tareas. Obtener las etiquetas de otros equipos utilizando cualquier medio (además del físico, por supuesto), le dará a su equipo una cantidad decente de puntos.
La segunda forma es otorgar puntos por atrapar a otros equipos que rompen la regla del juego. Esto requiere una evidencia bastante sólida, pero vale una buena cantidad de puntos si reporta con éxito a otro equipo.
Lea otras preguntas en las etiquetas professional-education