La Agencia de Ciberseguridad de Cataluña del departamento de Políticas Digitales y Administración Pública de la Generalitat, junto con el departamento de la Vicepresidencia y de Economía y Hacienda, a través de la Dirección General de Atención Ciudadana, ha realizado una prueba piloto para detectar vulnerabilidades en la administración pública en materia de ciberseguridad.
El objetivo de la prueba piloto puesta en marcha por la Agencia de Ciberseguridad de Cataluña utilizando un programa bug bounty o de recompensa era detectar vulnerabilidades en los sistemas de información y prevenir posibles ataques cibernéticos en la administración pública catalana.
Una de las prácticas que se realizan en el ámbito de la ciberseguridad con el objetivo de identificar vulnerabilidades existentes es el análisis de las infraestructuras de penetración (pentests) para validarlas, y los programas bug bounty surgen para complementar y ampliar su alcance. A partir del establecimiento de un marco controlado se ofrece una recompensa (bounty) para la detección de errores (bug).
En ciberseguridad, una vulnerabilidad es una debilidad de un sistema informático que pone en riesgo su seguridad y puede permitir que la información se vea comprometida. Según la lista CVE (por sus siglas en inglés Common Vulnerabilities and Exposure), en 2019 se identificaron 12.174 vulnerabilidades, una cifra que sigue una tendencia creciente al tiempo que se incrementa el desarrollo de la sociedad digital y se incorporan nuevas tecnologías.
Detección de cinco vulnerabilidades
A lo largo de dos semanas, expertos en ciberseguridad han participado en la prueba piloto. Como resultado, se han identificado cinco vulnerabilidades -dos presentes en páginas web de la Generalitat de Cataluña y tres en aplicaciones corporativas-, lo que ha permitido su verificación y resolución.
El equipo de respuesta a incidentes Cataluña-CERT de la Agencia de Ciberseguridad ha supervisado todo el desarrollo de la prueba con la validación de las vulnerabilidades identificadas y la gestión de su correspondiente solución para evitar ataques en el futuro.
Así, este piloto ha permitido constatar los beneficios de este tipo de herramientas para conseguir unos sistemas de información públicos más seguros y promover la participación, el talento en ciberseguridad y aproximar la administración a la ciudadanía.