Inicio Catalunya / Cataluña
0

La experiencia piloto se ha hecho durante dos semanas con la participación exclusiva de un conjunto de reputados expertos en ciberseguridad


La Agencia de Ciberseguridad de Cataluña ha llevado a cabo una prueba pionera llamada ‘bug bounty’ para detectar vulnerabilidades en las webs y las aplicaciones móviles de la Administración Pública.

 

La prueba piloto se ha hecho durante dos semanas con la participación exclusiva de un conjunto de reputados expertos en ciberseguridad. La prueba ha identificado cinco errores.

 

¿Qué es un programa ‘bug bounty’?

 

Los programas ‘bug bounty’ se usan para identificar las vulnerabilidades de un web, aplicación móvil o sistema informático.

 

En estos programas, una organización, compañía o desarrollador establece unas normas donde se ofrecen recompensas a los individuos que participan para reportar errores, vulnerabilidades o fallos de seguridad.

 

A diferencia de las macetas convencionales, pueden alargarse en el tiempo, pueden involucrar un elevado número de investigadores y los objetivos a analizar pueden ser indeterminados.

 

Programa pionero en la Administración Pública

 

Mientras los programas ‘bug bounty’ son habituales en entornos corporativos o privados, aunque no son una práctica habitual dentro de la Administración Pública. En 2016 tuvo lugar el primer programa de recompensa del gobierno de EE.

UU., Hack the Pentagon.

 

En este contexto, en diciembre de 2020 y durante dos semanas, la Agencia de Ciberseguridad de Cataluña realizó una prueba piloto sobre una parte de la web que provee de servicios en el Departamento de la Vicepresidencia y de Economía y Hacienda y las apps que se pueden encontrar en los mercados oficiales de Play Store de Google y la App Store de Apple.

 

Consistió en un programa ‘bug bounty’ limitado en el tiempo que ha contado con la participación de un número restringido de investigadores. Entre los participantes figuran reputados profesionales de la ciberseguridad del panorama nacional y estatal. Los profesionales lo hicieron de manera desinteresada.

 

Conclusiones de la prueba piloto

 

Se encontraron dos vulnerabilidades en las webs y tres en las aplicaciones móviles, lo que ha permitido proceder a su resolución y evitar que puedan ser explotadas en un futuro por un actor malicioso.

 

Después de esta experiencia positiva, la Generalidad de Cataluña obtiene la experiencia para poner en práctica programas de ‘bug bounty’ que serán útiles para conseguir sistemas de información más seguros y para aproximar la Administración Pública a la ciudadanía.

Dejar una respuesta

Please enter your comment!
Nombre