La Secretaría de Telecomunicaciones y Transformación Digital, a través de la Agencia de Ciberseguridad de Cataluña, lanza un programa de búsqueda de vulnerabilidades -conocido en inglés como Bug Bounty- para identificar vulnerabilidades en los departamentos de la Generalidad de Cataluña y en el sector público como medida innovadora y complementaria a los escaneos tradicionales. En los tres primeros meses que el programa ha estado activo se han identificado siete vulnerabilidades, entre ellas una de categoría crítica y otra de alto nivel crítico.
Se trata de un programa pionero entre las administraciones públicas en todo el Estado, iniciado en abril de 2023 y que se alargará al menos un año. El Gobierno de Catalunya es el primero en lanzar un proyecto de hacking ético de este tipo, al que se destinarán 70.000 euros para premiar las vulnerabilidades que encuentren el conjunto de investigadores especialistas en ciberseguridad que participan.
El secretario de Telecomunicaciones y Transformación Digital, Sergi Marcén, ha subrayado que «Catalunya no sólo debe ser digital, debe ser referente en la Transformación Digital y tener una posición de liderazgo en capacitación, colaboración e innovación».
Mediante esta acción, Cataluña promueve el talento y el hacking ético, se multiplican las capacidades de protección y prevención y se fomenta la innovación en la ciberseguridad de los sistemas digitales. “Si no sacáramos adelante iniciativas como estas, los piratas informáticos sólo verían un espacio para focalizar su vocación en internet oscura y, por tanto, en el tipo de hacking que destruye. Nosotros queremos el hacking que construye”, ha destacado el director de la Agencia de Ciberseguridad de Catalunya, Tomàs Roy Català.
El compromiso de la administración pública catalana por ofrecer los mejores servicios públicos posibles a la ciudadanía y empresas comporta la obligación de transformarse digitalmente, adoptar nuevas tecnologías y orientar los procesos al dato. Ahora bien, al tiempo que los entornos digitales complejos crecen, también lo hace el nivel de ciberamenaza. En este sentido, la Agencia de Ciberseguridad de Cataluña, aparte de los programas de ciberseguridad y la monitorización constante de los sistemas integrados en el perímetro de ciberseguridad, lleva a cabo acciones como los escaneos de vulnerabilidades y los análisis de pentest.
Sin embargo, estas pruebas se complementarán durante todo un año con la realización del programa de búsqueda de vulnerabilidades, que consiste en dar acceso controlado a activos específicos de la Administración a un conjunto de investigadores de seguridad informática, especializados en la detección de puntos vulnerables en los sistemas informáticos.
Por medio de este programa nos aseguramos llegar allá donde los escaneos habituales no pueden, incrementamos la posibilidad de identificar posibles vulnerabilidades aprovechando la inteligencia colectiva en Cataluña -con la participación de la comunidad de investigadores-, y hacemos una supervisión continuada de la seguridad, dado que tiene una duración larga.
En el ámbito corporativo, en el sector privado, acciones de hackig ético son una práctica consolidada, pero en el sector público todavía no son comunes.
En diciembre de 2020, la Agencia, con la colaboración de la de Dirección General de Servicios Digital y Experiencia Ciudadana (Atención Ciudadana entonces), puso en marcha una prueba piloto de búsqueda de vulnerabilidades sobre un conjunto de activos de la Generalidad de Cataluña.
Gracias a las conclusiones positivas en la experiencia de 2020, la Generalitat de Catalunya decidió incorporar los programas de este tipo como una nueva herramienta para conseguir unos sistemas de información públicos más seguros, promover la participación y el talento en ciberseguridad y aproximar la administración pública a la ciudadanía. Por este motivo, desde la Secretaría de Telecomunicaciones y Transformación Digital se ha iniciado el programa, ya no como un piloto, sino como una nueva acción en la ciberseguridad del país.
