Internet Security Auditors logra Top 20 en su primera participación en el International CyberEx 2025

Internet Security Auditors — Madrid, 23 de septiembre de 2025

Nos hace especial ilusión compartir que, sin ser un equipo CSIRT ni Blue Team, y en nuestra primera inscripción en el ciberejercicio International CyberEx 2025, organizado por OEA (Organización de los Estados Americanos) e INCIBE (Instituto Nacional de Ciberseguridad), hemos alcanzado el puesto 18 en una edición especialmente competitiva: 84 equipos, 336 especialistas de 17 países, con casi 60 equipos del ámbito de la OEA, más de 25 equipos de España y de otros países, y la participación especial de 5 equipos y 19 expertos de la selección española de jóvenes talentos en ciberseguridad (ECSC). El ejercicio se disputó en formato CTF “jeopardy” por equipos durante 8 horas.

Competir contra equipos con ADN CSIRT y quedarnos Top 20 en la primera participación nos confirma que nuestros procesos y habilidades ofensivas están a la altura. Ese aprendizaje ya lo estamos volcando en cómo diseñamos y ejecutamos nuestros pentests.

Mario Valiente Catalán, Capitán del equipo de Internet Security Auditors

La organización únicamente publica el Top 10; el resto de posiciones se mantienen anónimas, por lo que compartimos nuestro resultado por transparencia con la comunidad.

Sobre el International CyberEx 2025

El International CyberEx busca fortalecer capacidades de respuesta y cooperación entre países de la OEA y equipos invitados por INCIBE. La edición 2025 se celebra en inglés y español, con equipos de 3–4 personas y un entorno CTF “jeopardy” (categorías de retos con distinta puntuación).

Nuestra experiencia en el CTF: aprendizajes accionables

En el CTF conseguimos una coordinación sin fricciones, guiados por un capitán que marcaba prioridades y miembros trabajando en paralelo (investigación, explotación y documentación), con tareas claras. Ese ritmo refuerza a nuestro equipo de Red Team.
Hipótesis contrastables y foco en el objetivo. Cubrimos disciplinas complementarias — ingeniería inversa (Reversing), criptografia, análisis forense y esteganografía— para entender la cadena de ataque de extremo a extremo, desde la enumeración hasta la obtención de la bandera.

Como equipo de Red Team experimentado, este enfoque no nos es nuevo; venimos trabajando desde hace años con una mentalidad “purple team” que integra la visión defensiva en nuestros ejercicios.

La participación en el CTF actuó como banco de pruebas exigente para validar y reforzar prácticas ya consolidadas: afinamos casos de prueba y criterios de aceptación que ya utilizamos en pentesting, confirmamos la solidez de nuestras hipótesis de detección.

¿Qué significa para nuestros clientes?

En el CTF validamos capacidad real bajo presión. Antes de cada reto activamos una hoja de ruta y aplicamos pausas en ciclos de 45 minutos con puntos de decisión, lo que evita la dispersión y maximiza el avance. Esa disciplina es la que trasladamos a nuestros proyectos de pentesting mediante una metodología repetible: partimos de la enumeración y el inventario de superficies y servicios, formulamos hipótesis de explotación, ejecutamos explotación controlada en ventanas acordadas y convertimos las flags en evidencias reproducibles (pruebas, artefactos, hashes) listas para auditoría y retest.

Además, la competición nos obligó a priorizar por impacto en tiempo real; esa práctica se transforma en backlogs de remediación orientados a riesgo (criticidad, explotabilidad y exposición), con responsables y fechas objetivo, que aceleran el cierre de hallazgos críticos y reducen el retrabajo entre seguridad, desarrollo y operaciones.

¿Qué se lleva tu organización de todo esto?

Top 20 en nuestra primera participación —y sin ser un CSIRT/Blue Team— porque afrontamos el CTF con mentalidad de defensa. Ese enfoque lo aplicamos en nuestros clientes para que el ejercicio no sólo encuentre fallos, sino que mejore la detección, la respuesta y el cumplimiento.

Red Team con mentalidad Blue Team

▪️Hipótesis de detección antes de atacar: por cada TTP planificada (MITRE ATT&CK) definimos qué debería ver el SOC, dónde (SIEM/EDR/Firewall/IdP) y con qué umbral. Así el test valida tanto la explotación como la observabilidad.
▪️Instrumentación y trazabilidad
▪️Validación end-to-end: medimos detección → contención → erradicación → recuperación y acciones recomendadas por fase.
▪️Aprendizaje transferible: cada técnica probada genera runbooks y lessons learned para respuesta a incidentes y hardening, evitando que el hallazgo se repita en producción.
▪️Pentesting con foco en negocio
▪️Planificamos por superficies expuestas (web/API/móvil/red/AD/cloud/OT), priorizando lo que impacta a ingresos, continuidad o cumplimiento. Ejecutamos en ventanas controladas y con impacto medible (riesgo residual, criticidad, esfuerzo de remediación), sin afectar producción.

Agradecimientos
Gracias a la OEA y a INCIBE por la iniciativa, organización y soporte técnico. La experiencia ha sido excelente y enriquecedora para todo nuestro equipo.

Referencias

▪️INCIBE - https://www.incibe.es/
▪️OEA|OAS - https://www.oas.org/es/
▪️International CyberEx - https://www.incibe.es/eventos/international-cyberex
▪️International CyberEx – Histórico de estadísticas - https://www.incibe.es/eventos/international-cyberex/historico