Capture The Flag, se acabó: las redes neuronales han convertido los torneos de ciberseguridad en una competición de billeteras
Ya no es posible medir de forma objetiva las habilidades reales.
Capture The Flag (CTF) — un torneo de desafíos prácticos del mundo de la ciberseguridad. Los participantes buscan vulnerabilidades, descifran datos, analizan programas y obtienen una bandera especial por cada solución correcta.
Durante mucho tiempo, esas competiciones sirvieron como una escalera clara para especialistas futuros y en activo: desde tareas sencillas hasta equipos fuertes y torneos internacionales. Ahora Kabir Acharya, autor de un artículo reciente sobre CTF, afirma, que el formato abierto se ha roto bajo la presión de grandes modelos de IA, y las tablas de resultados reflejan cada vez peor el nivel de los participantes.
Acharya empezó a jugar en CTF en 2021, ganó en el DownUnderCTF australiano como parte de Blitzkrieg, luego compitió por TheHackersCrew, que regularmente aparecía en las primeras posiciones de CTFTime. Según él, el problema no son las herramientas: los participantes siempre han automatizado la rutina. El punto de inflexión llegó cuando los modelos empezaron a razonar por sí mismos, escribir la solución y encontrar la bandera.
El efecto se volvió especialmente notorio tras la aparición de GPT-4, cuando parte de los retos de dificultad media se resolvían con una sola consulta. Tras la llegada de Claude Opus 4.5, según el autor, la situación cambió drásticamente: retos de dificultad media e incluso algunos difíciles se volvieron accesibles para agentes, y Claude Code facilitó el lanzamiento de tales esquemas a través de la línea de comandos, herramientas externas y la API de CTFd.
Los CTF abiertos dependen cada vez menos del análisis manual y más de la velocidad para desplegar agentes de IA en todos los retos. Según la estimación del autor, GPT-5.5 y GPT-5.5 Pro consolidaron el cambio: modelos potentes ya son capaces de resolver una parte significativa de los retos que los organizadores preparan para un torneo de 48 horas.
El golpe principal afectó al sentido de las clasificaciones. Si antes la posición en CTFTime servía como señal de habilidades, ahora el resultado mezcla la experiencia en seguridad, el gasto en consultas a modelos, la gestión de agentes de IA y la disposición a usar modelos avanzados. Acharya considera que las competiciones abiertas favorecen a quienes pueden pagar más por el cómputo.
Para los novatos, en su opinión, también se ha vuelto más difícil. Los CTF funcionaban como una vía de crecimiento, pero la automatización de los puestos altos empuja a los principiantes hacia la IA antes de que desarrollen sus propias habilidades. Para el aprendizaje, el autor considera más adecuados picoGym y HackTheBox, donde el objetivo está más claramente vinculado a la práctica que a la clasificación pública.
Los organizadores casi no disponen de defensas fiables. Las prohibiciones sobre la IA son difíciles de verificar, y los retos diseñados específicamente para dificultar a los modelos a menudo resultan incómodos también para las personas. Acharya no afirma que los CTF vayan a desaparecer por completo con el tiempo, pero considera que el formato abierto y masivo ya ha perdido su papel anterior.