Términos de
participación
Esta guía describe los criterios de elegibilidad, las reglas y las condiciones generales para participar en el CTF de Fluid Attacks.
Requisitos de participación
Elegibilidad
El CTF de Fluid Attacks es una competencia estrictamente individual. Fluid Attacks no permite la formación de equipos ni la colaboración entre los participantes.
Esta competencia está dirigida exclusivamente a ciudadanos o residentes permanentes de países de América Latina y el Caribe.
Política de cuentas
Los participantes pueden tener solo una (1) cuenta.
La creación de cuentas alternas (sockpuppets), cuentas de prueba o el uso compartido de cuentas está prohibido y resultará en el rechazo inmediato de todas las cuentas asociadas.
Registro
Cada postulante debe registrarse en el CTF mediante el formulario oficial. Toda la información proporcionada debe ser completa y veraz.
Los datos de registro de cada postulante se verificarán contra su información pública en LinkedIn. Deben asegurarse de que su perfil esté actualizado y refleje su situación laboral o académica actual antes de enviar la solicitud.
Si el formulario del CTF impide que un postulante ingrese su perfil de LinkedIn porque ya está en uso por otra persona, deberá notificar este problema a Fluid Attacks al correo electrónico [email protected].
Si el postulante es residente permanente de un país de América Latina o el Caribe, pero su perfil de LinkedIn no lo refleja, deberá enviar un comprobante de residencia al correo indicado anteriormente.
Revisión y aprobación
El equipo organizador de Fluid Attacks revisa las solicitudes. La aprobación no es automática y depende del cumplimiento de los requisitos de elegibilidad y de la capacidad disponible.
Una vez que la solicitud haya sido aprobada o rechazada, Fluid Attacks notificará al postulante por correo electrónico.
Criterios de rechazo
Una inscripción será rechazada automáticamente si:
El perfil de LinkedIn proporcionado no existe, carece de conexiones o no tiene un historial verificable.
El postulante no es ciudadano ni residente legal de un país de América Latina o del Caribe.
La información es falsa, incompleta o no coincide con la identidad profesional o académica en LinkedIn.
El postulante ha sido expulsado en alguna edición previa del CTF de Fluid Attacks.
Reglas de participación
Durante el CTF, los participantes no deben:
Compartir soluciones, write-ups, flags o técnicas con otros participantes (solo podrán hacerlo una vez transcurridas al menos 48 horas desde la finalización del CTF; hacerlo antes supondrá su descalificación de la competencia).
Resolver retos junto con otros participantes ni participar en ninguna forma de colaboración.
Utilizar múltiples cuentas o suplantar a otros.
Enviar flags mediante fuerza bruta o automatizar envíos masivos.
Atacar la infraestructura del CTF o intentar causar un DoS/DDoS.
Sabotear o interferir con el desempeño de otros participantes.
Juego limpio y sanciones
Los participantes que cometan cualquier forma de fraude en el CTF serán:
Descalificados inmediatamente de la competencia.
Rechazados permanentemente para futuras ediciones.
Eliminados de todos los rankings acumulados: Sus puntajes pasados y actuales dejarán de contar para rankings individuales, de empresa, universidad o país.
Normas de la comunidad
Todos los participantes deben comportarse de manera respetuosa y profesional en todo momento; por lo tanto, no se permite el acoso, la discriminación ni ningún comportamiento no ético. Esto aplica a todos los canales de comunicación utilizados durante la competencia (Discord, correo electrónico, la plataforma del CTF, etc.). Cualquier infracción puede resultar en la descalificación inmediata y en la exclusión permanente de futuras ediciones.
Uso de herramientas de IA
El CTF tendrá dos tablas de clasificación separadas: Unrestricted y AI-Free.
Cada participante debe elegir su modalidad de juego durante el registro. Los participantes que inicialmente seleccionen AI-Free podrán cambiarse a Unrestricted incluso durante la competencia, pero solo hasta 1 hora antes de que finalice el CTF. Sin embargo, los participantes que seleccionen Unrestricted podrán cambiarse a AI-Free solo hasta 24 horas antes de que comience el CTF, enviando un correo electrónico a [email protected].
Las dos modalidades de juego se definen de la siguiente manera:
Unrestricted
Los participantes pueden usar herramientas de IA como deseen, siempre que entiendan y puedan reproducir por sí mismos las soluciones que envíen, y que sigan cumpliendo todas las demás reglas establecidas en este documento. Los participantes en esta modalidad son elegibles para premios.
AI-Free
Los participantes aceptan no usar herramientas de IA de ninguna forma durante la competencia. Los participantes en esta modalidad no son elegibles para premios, pero tendrán su propia clasificación. Esta modalidad está destinada a personas que desean competir únicamente por los retos y su crecimiento profesional.
Fluid Attacks se reserva el derecho de solicitar write-ups técnicos detallados a los participantes de cualquiera de las dos tablas de clasificación para verificar su entendimiento técnico, razonamiento y capacidad de reproducir las soluciones que enviaron. No demostrar dicho entendimiento podrá resultar en la descalificación del CTF.
Rankings y premios
Para los rankings corporativos e institucionales, las subsidiarias, sucursales o marcas pertenecientes a un mismo holding se agruparán bajo el nombre de la empresa matriz.
Fluid Attacks otorga premios a los participantes que terminen entre los tres primeros puestos de la clasificación general de la competencia, así como a los mejores clasificados en las categorías AppSec, First Bloods y Sub-26. A continuación se explican estas categorías:
Mejor en AppSec: El participante con la puntuación acumulada más alta en todos los desafíos de las categorías Web, Mobile y API.
Más First Bloods: El participante que obtenga el mayor número de "first bloods" (un "first blood" es el reconocimiento que se le otorga al jugador que resuelve un desafío antes que todos los demás jugadores).
Mejor en Sub-26: El participante que, teniendo 26 años o menos al final del año en que se celebra el CTF, logre la puntuación general más alta entre al menos otros 29 participantes de ese grupo de edad (es decir, este título no se otorgará en una competencia con menos de treinta participantes dentro de ese grupo de edad).
En caso de empate en cualquiera de estas categorías de premios, Fluid Attacks utilizará el tiempo que les tomó a los participantes completar los desafíos como criterio de desempate.
Para validar las puntuaciones de los ganadores provisionales al final del CTF, los organizadores presentarán tres retos seleccionados al azar de la competición que dichos participantes hayan logrado resolver. Los tres primeros participantes (también conocidos como candidatos oficiales) tendrán 36 horas para enviar informes técnicos detallados de sus soluciones. Al mismo tiempo, se notificará a los participantes en los puestos 4º, 5º y 6º que son candidatos suplentes y también recibirán tres desafíos para validar sus soluciones, con la misma fecha límite para la entrega de los informes. Cada participante deberá responder correctamente a estas solicitudes. La falta de respuesta o las respuestas incorrectas por parte de cualquiera de los candidatos oficiales darán lugar a lo siguiente:
El participante en cuestión quedará excluido de la premiación, lo que permitirá que el siguiente jugador en la clasificación ocupe su lugar y reciba su premio (siempre que haya dado las respuestas correctas). Si esto le ocurre únicamente al ganador del primer puesto, tanto el segundo como el tercer clasificado ascenderán un puesto.
El siguiente participante —uno de los candidatos suplentes, fuera de los tres primeros pero el siguiente en la lista según su puntuación— que haya completado y enviado correctamente su informe será incluido entre los tres primeros para recibir un premio.
Cada informe técnico es evaluado por dos miembros del equipo de investigación de Fluid Attacks mediante una lista de verificación basada en estos cinco criterios: identificación de vulnerabilidades, cadena de explotación, artefactos de explotación (scripts y cargas útiles), conocimiento del dominio técnico y trazabilidad de las decisiones. Si ninguno de los seis candidatos mencionados responde correctamente a los desafíos dentro del tiempo asignado, Fluid Attacks se abstendrá de otorgar premios a los tres primeros clasificados según la puntuación global. Toda la validación se completa en un plazo de 48 horas tras la conclusión del CTF, en consistencia con la política de no publicación de soluciones durante este periodo. Las decisiones emitidas al concluir el proceso de validación son irreversibles.
Fluid Attacks entrega los premios tras revisar y aprobar los informes de estos desafíos finales.
Si un jugador obtiene puntuaciones que le dan derecho a dos o más premios disponibles, Fluid Attacks le otorgará únicamente el premio de mayor valor, lo que permitirá que los demás premios se entreguen a los siguientes participantes en las clasificaciones correspondientes.
Si el ganador de alguno de los premios es empleado de Fluid Attacks, recibirá únicamente el equivalente monetario del premio en forma de financiación para certificaciones en ciberseguridad.
Privacidad de datos
Al registrarse, el postulante autoriza a Fluid Attacks a revisar su perfil público de LinkedIn con fines de perfilamiento (por ejemplo, para verificar residencia en América Latina, empleo actual o condición de estudiante). Estos datos se utilizarán exclusivamente para verificación de elegibilidad, estadísticas de la competencia y rankings, y no serán vendidos a terceros.
Los problemas técnicos relacionados con los retos o la plataforma deben reportarse a través del servidor oficial de Discord del CTF.
Para cualquier otra consulta, inquietud o solicitud, escribir a [email protected].
Al registrarse y participar, el participante acepta cumplir con todas las reglas aquí establecidas y asumir las consecuencias de su incumplimiento.
Fluid Attacks podrá realizar investigaciones después de la competencia y descalificar retroactivamente a los participantes que hayan infringido las reglas. En consecuencia, los rankings pueden verse afectados por dichas investigaciones.
