No podíamos inaugurar esta sección de otra forma. El tema del momento, ya tratado por la mayoría de equipos reconocidos de este mundillo. 2026 está siendo, como mínimo, un año caótico para las competiciones CTF e incluso, en general, para la ciberseguridad y la programación.
Hemos sido testigos de cómo, durante casi los tres primeros meses de 2026, una persona en solitario se posicionaba como el mejor equipo de CTF del mundo en CTFTime. Y no porque de repente haya completado todos los laboratorios existentes de todas las disciplinas y sea buenísimo, sino porque había ido sustituyendo todo su flujo de trabajo por modelos y herramientas de inteligencia artificial. Su nombre es krauq y, según él, llevaba ya un año compitiendo de la mano de los mejores equipos del mundo y consiguiendo ganar con ellos distintos CTF de reputación internacional.
Es evidente para cualquiera que haya jugado una competición CTF en los últimos seis meses que el panorama ha cambiado. Actualmente, la mayoría de los retos fáciles y medios, retos que anteriormente solo eran resueltos por 30 equipos en competiciones de casi 1000 inscritos, pueden ser resueltos sin intervención humana ninguna. Hay categorías que, a nivel competitivo, casi no merece la pena seguir profundizando en ellas (mi querida criptografía). Las categorías basadas en programación y extensos contenidos teóricos fueron las primeras en caer, seguidas por las que se pueden reducir a instrucciones en ensamblador entendibles por los modelos, como es el caso de la ingeniería inversa.
Y muchos pensábamos que ese podía ser el límite, que no podía ir más allá. Nos equivocábamos. Los agentes con multihilo y con acceso a entornos de trabajo con permisos de escritura pueden con todo. Codex, Claude Code, Antigravity… han cambiado el juego. Igualmente, esta no es una publicación explicando cómo aprovechar las herramientas, para eso ya está el artículo de krauq «Krauq’s AI Power User Guide«.
¿Adaptarse o morir?
Como apasionados de esta disciplina competitiva, esta pregunta es muy difícil. Hay un sentimiento en nuestro interior de pureza, asociado al proceso de resolver en solitario los desafíos, que es complicado de recuperar cuando los LLMs están tan presentes. Se echa tanto de menos esa emoción al conseguir resolver un reto después de invertir cinco horas en él. Como equipo competitivo, no podemos ignorar las herramientas, pese a que nuestros esfuerzos sigan yendo en la misma dirección: seguir aprendiendo y formándonos, que es lo que queda al final del día. El resto está en los servidores de OpenAI.
Y como creadores, solo nos queda poner las cosas difíciles. Durante el congreso RootedCON nos lo preguntaron en distintas ocasiones: ¿cómo pueden estas competiciones perdurar? ¿Seguirán mejorando los LLMs hasta el infinito? Aquí entra la opinión de cada uno. Pensamos (o queremos pensar) que hay un límite, ya sea por el hardware o por las limitaciones de las arquitecturas en las que se basa la tecnología.
Mientras tanto, una solución es cambiar la forma. La IA se basa en los conocimientos previos alcanzables por internet u otros medios de información, juguemos con esos límites. Google, en la final de su competición CTF anual, siempre pone a prueba conceptos experimentales. Este año pasado programaron un videojuego para la Sega Genesis, y los jugadores tenían que resolver las distintas pruebas en una Sega Genesis original. Me cuesta encajar el papel de la inteligencia artificial en esta prueba, más allá de realizar el análisis inicial del código dado.
Por otro lado, nuestro coste como creadores está siendo alto, especialmente sobre la comunidad española. Hemos recibido en nuestras encuestas comentarios de que incluyamos retos fáciles aunque puedan ser resueltos en un prompt por el LLM de turno. Estos comentarios suelen venir de nuevos jugadores que quieren aprender, por encima de quedar en las posiciones más altas del ranking. Nos encanta ese tipo de público y están siendo los más castigados en este nuevo panorama.
Muchos olvidan el verdadero objetivo de los CTF
Y esto último nos lleva a lo más importante. Muchos jugadores están olvidando el verdadero motivo por el que empezamos a jugar CTF. Los retos CTF existen porque la ciberseguridad es una disciplina extremadamente práctica, y practicar en entornos reales es peligroso e ilegal. Esta función nunca se perderá y expertos en ciberseguridad seguiremos necesitando mientras vivamos en un mundo tecnológico.
Que existan las herramientas no nos obliga a usarlas, y menos para aprender. Habrá problemas del mundo real que la inteligencia artificial nunca será capaz de solucionar, ya sea porque son nuevos o porque requieren manipulación física de objetos. Y ahí es dónde entra cada uno de los que, mientras el resto solo mejoran su capacidad de escribir prompts, siguen manteniendo la mente activa.
Entendemos la frustración, los apasionados de este mundo no estamos pasando por nuestro mejor momento, pero paciencia, ánimo y a seguir aprendiendo. Veremos qué pasa.
Si queréis dar vuestra opinión hemos abierto una entrada de foro dentro de #ctf-stories en la comunidad de Discord. Os leemos.