Competición Ciberseguridad

Institute of Technology

Competición
Ciberseguridad e Inteligencia Artificial

The Silent Whisper: Análisis de Canal Lateral sobre Cifrado AES-128

Esta competición se ha realizado en colaboración con:

Características de la competición

Inscripciones abiertas.
Pensada para participación individual, si bien se permiten equipos de hasta 5 integrantes.
Un total de 450.000 € en premios que se distribuirán entre los 60 mejores participantes.

Inscríbete en la competición

Tu nombre

Tu documento de identidad (DNI, tarjeta de residencia, pasaporte, etc.)

Tu correo electrónico

Tu teléfono de contacto

Elige la competición en la que deseas participar

Elige cómo será tu participación
IndividualEquipo

Si sois un equipo, introduce aquí los datos del resto de participantes y el nombre del equipo. También puedes utilizar este espacio para incluir un código de referencia u otra información relevante.
⚠️ Recuerda: estas competiciones están diseñadas para realizarse de manera individual, aunque también podrás formar un equipo:
– La competición de Finanzas permite equipos de máx. 3 personas
– La competición de Derecho permite máx. 5 personas
– La competición de Empresas permite máx. 5 personas
– La competición de Ciberseguridad permite máx. 5 personas

Objetivo de la competición

La presente competición tiene como finalidad sensibilizar y formar a los futuros responsables de ciberseguridad, seguridad ofensiva y defensa de infraestructuras críticas sobre la realidad técnica de los ataques avanzados contra sistemas criptográficos, poniendo de manifiesto que la seguridad no depende únicamente de la solidez matemática de los algoritmos, sino también de su implementación física, operativa y organizativa.

En este sentido, la competición persigue los siguientes objetivos:

Detectar talento técnico con proyección en ciberseguridad avanzada y seguridad ofensiva. La competición busca identificar a aquellos participantes con capacidad para desenvolverse en escenarios técnicos de alta complejidad, propios de equipos Red Team, Blue Team avanzados o unidades de inteligencia.
Demostrar la necesidad de ir más allá de la criptografía teórica. El reto pone de manifiesto que algoritmos considerados seguros, como AES-128, pueden verse comprometidos si no se protegen adecuadamente frente a fugas físicas de información. Los participantes deben comprender cómo el consumo de energía, el tiempo de ejecución, o las emisiones electromagnéticas, pueden convertirse en vectores de ataque críticos.
Exponer a los participantes a escenarios técnicos avanzados. El caso simula una situación propia de entornos de inteligencia, defensa o análisis forense avanzado, donde el atacante dispone de trazas físicas reales y debe aplicar técnicas como Correlation Power Analysis (CPA) o métodos basados en Deep Learning para recuperar información sensible. Este enfoque permite evaluar la capacidad analítica, técnica y metodológica de los participantes.
Fomentar una comprensión integral de la seguridad en sistemas críticos. La competición subraya que la ciberseguridad moderna no es únicamente software, sino también hardware, arquitectura, procesos y gobernanza. El objetivo es que los participantes adquieran una visión completa de la superficie de ataque real de los sistemas utilizados en sectores estratégicos.
Brindar acceso al programa formativo de referencia en Ciberseguridad Estratégica: Top CISO. Como reconocimiento a los mejores participantes, la competición ofrece la posibilidad de acceder al máster Top CISO, un programa de referencia internacional diseñado para formar a los futuros responsables de ciberseguridad, capaces de proteger organizaciones, infraestructuras críticas y activos estratégicos frente a amenazas avanzadas.

Criterios de evaluación

Comprensión técnica del ataque: Dominio de los fundamentos del Análisis de Canal Lateral (SCA), en particular del Correlation Power Analysis (CPA) u otras técnicas equivalentes, y comprensión de por qué un sistema criptográfico puede ser vulnerable a nivel físico.
Rigor metodológico: Coherencia en el planteamiento del ataque, selección del modelo de fuga, tratamiento de las trazas y enfoque estadístico o basado en aprendizaje automático.
Análisis y validación de resultados: Capacidad para interpretar los resultados obtenidos, justificar la clave recuperada y evaluar la fiabilidad del ataque.
Claridad y calidad de la entrega: Claridad en la explicación, coherencia entre el código y la metodología, y capacidad de comunicar un ataque complejo de forma profesional.

Comité evaluador

Finalizado el plazo de tres semanas desde la inscripción, un comité de expertos procederá a la evaluación de las propuestas presentadas, atendiendo a los criterios de evaluación anteriormente mencionados

Dicho comité estará integrado por:

*Pinchando sobre la foto accedes a su Linkedin

Ginés Carrascal

Quantum Computational
Scientist & Architect

IBM Quantum

Escolástico Sánchez

Director Ejecutivo
de Computación Cuántica

BBVA

Guillermo Meléndez

CEO

AthenAI Institute of Technology

Si la propuesta presentada está entre las 60 mejores de la competición, obtendrás una beca de 7.500€, dividida en:

2.750 € para el programa CISO Essential
4.750 € para el programa Top CISO

Top CISO

Abrir en una pestaña nueva Descargar

En el caso de equipos formados por más de una persona, todos sus integrantes recibirán la misma beca, por un importe de 7.500 € cada uno.

La beca será válida únicamente para las ediciones de abril u octubre de 2026. La edición de octubre tendrá una beca inferior a la de abril (un 15% inferior).

Será necesario haber superado el programa CISO Essential (abril u octubre 2026) para poder matricularse posteriormente en el programa Top CISO en 2027.

Aviso legal

El siguiente caso ha sido elaborado exclusivamente para fines de práctica académica, simulación profesional, competición, formación y análisis .

Los nombres e información asociada son totalmente ficticios.

Datos del caso

Introducción y Escenario

Nuestros servicios de inteligencia han interceptado un dispositivo de hardware seguro utilizado por una organización rival. Sabemos que este dispositivo cifra comunicaciones críticas utilizando el algoritmo AES-128.

Aunque el algoritmo AES es matemáticamente seguro, hemos detectado una vulnerabilidad física en el dispositivo: su consumo de energía fluctúa dependiendo de los datos que está procesando.

Nuestros ingenieros de campo han logrado capturar el consumo eléctrico del chip mientras cifraba 500 mensajes conocidos. Tu misión es analizar estas mediciones físicas para extraer la Clave Secreta de 16 bytes.

Objetivo del Reto

El participante debe implementar un ataque de Análisis de Canal Lateral (SCA), específicamente un Correlation Power Analysis (CPA) o técnicas equivalentes (Deep Learning), para recuperar la clave de cifrado.

Entrada: Un conjunto de trazas de potencia y los textos planos asociados.
Salida: La clave secreta en formato hexadecimal (La «Flag»).

Especificaciones Técnicas del Dataset

Variable	Dimensiones	Descripción
Traces	(500, 3500)	Matriz de 500 filas. Cada fila es una captura de osciloscopio con 3.500 puntos (muestras de voltaje/potencia) que cubren las operaciones de cifrado.
Plaintext	(500, 16)	Matriz de 500 filas. Cada fila contiene los 16 bytes (enteros 0-255) del mensaje de entrada que generó la traza correspondiente.

Cómo empezar (Snippet de Código)

Para facilitar el análisis, se recomienda utilizar Python.
El siguiente código muestra cómo cargar los datos correctamente:

import numpy as np
import matplotlib.pyplot as plt

# 1. Cargar el archivo de datos
try:
    data = np.load('aes_challenge_public.npz')
    plaintexts = data['plaintext']
    traces = data['traces']
    print(f"✅ Dataset cargado: {len(traces)} trazas disponibles.")
except FileNotFoundError:
    print("❌ Error: No se encuentra el archivo .npz")

# 2. Visualizar la primera traza (Opcional)
plt.plot(traces[0])
plt.title(f"Traza de Potencia #0 - Texto: {plaintexts[0]}")
plt.xlabel("Tiempo (Muestras)")
plt.ylabel("Consumo de Potencia")
plt.show()

Entregables y Formato de la Flag

Para completar el reto, el participante debe entregar:

Script de Solución: El código (Python/Matlab/C) utilizado para realizar el ataque y obtener la clave.
La Flag: La clave recuperada en formato hexadecimal.

Formato de la Flag: CTF{clave_en_hexadecimal}

Ejemplo: Si la clave recuperada es 00 11 22 aa bb cc …
La flag a entregar es: CTF{001122aabbcc…}

Acceso a los Materiales

Todos los archivos necesarios para el desarrollo de este reto (dataset, scripts de ayuda y documentación adicional) se proporcionarán tras la inscripción en la competición.

Nota: El archivo .npz pesa aproximadamente 14 MB. Asegúrate de tener una conexión estable durante la descarga.

¡Buena suerte descifrando el susurro del chip!

Bases de Participación

1. Inscripción:

La inscripción es totalmente gratuita.
Para poder participar en la competición es obligatorio inscribirse.
Para inscribirse, debe utilizarse exclusivamente los formularios disponibles en esta página. Cualquier intento de inscripción mediante un método distinto no será respondido.

2. Condiciones de Participación:

Cada participante solo podrá participar una vez en esta competición. Esto significa que podrá hacerlo como parte de un equipo o de manera individual, pero no podrá estar inscrito en más de un equipo ni ser parte de un equipo y participar como individual al mismo tiempo.

3. Equipos:

Cada equipo deberá elegir a un jefe de equipo, quien será el único portavoz y la única persona autorizada para establecer contacto con el comité organizador. Cualquier consulta o comunicación relacionada con la competición deberá ser canalizada exclusivamente a través del jefe de equipo.
El jefe de equipo será responsable de completar el formulario con los datos del resto de los miembros del equipo y será quien reciba la información necesaria para la competición.
Cada equipo deberá elegir un nombre identificativo, el cual servirá para reconocer al grupo y su pertenencia al mismo. Esta denominación será el que aparecerá en el ranking final de resultados.
No se aceptarán nombres que sean ofensivos, malsonantes, discriminatorios, violentos, políticos, publicitarios, o que vulneren derechos de terceros (por ejemplo, uso no autorizado de marcas registradas, nombres de organizaciones, etc.).
En caso de que la denominación seleccionada incumpla cualquiera de estas condiciones, todas las personas integrantes del equipo serán automáticamente descartadas de la competición.

4. Requisitos para la entrega de premios:

Los participantes que resulten ganadores, ya sea de manera individual o como parte de un equipo, deberán coincidir en nombre y apellido con los registrados en la inscripción.
A su vez, los datos proporcionados durante la inscripción deberán coincidir exactamente con los que figuran en su documento de identidad (DNI, pasaporte, etc.).
En caso de discrepancias en los datos, el participante no podrá recibir el premio correspondiente.

5. Protección de Datos Personales y Privacidad:

Los participantes aceptan que los datos personales proporcionados durante el proceso de inscripción serán utilizados exclusivamente para fines relacionados con la competición, tales como la gestión de inscripciones, el envío de comunicaciones relevantes, y la elaboración de los rankings y entrega de premios.
AthenAI se compromete a cumplir con las leyes vigentes en materia de protección de datos personales. Los datos no serán cedidos, vendidos ni compartidos con terceros para fines comerciales, publicitarios o de otro tipo sin el consentimiento expreso de los participantes.
Los participantes podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con la legislación vigente sobre protección de datos.

6. Propiedad Intelectual:

Los participantes no podrán utilizar la información proporcionada por la organización ni los resultados obtenidos en la competición para fines comerciales o lucrativos, ni podrán ceder, vender o distribuir dicha información sin el consentimiento previo por escrito de AthenAI Institute of Technology.

7. Exoneración de Responsabilidad:

Los participantes son responsables de asegurarse de que los equipos o soluciones propuestas no infringen derechos de propiedad intelectual de terceros y de que sus acciones no violan las leyes locales o internacionales.

8. Modificación y Cancelación de la Competición:

AthenAI se reserva el derecho a modificar las fechas si se presentan circunstancias imprevistas o de fuerza mayor. Cualquier modificación será comunicada oportunamente a los participantes a través de los medios establecidos para ello.

No olvides inscribirte…