L'Agència de Ciberseguretat de Catalunya ha engegat una prova pilot pionera per descobrir errors de seguretat en diversos actius de la Generalitat, com part del web de serveis del Departament de la Vicepresidència, el d'Economia i Hisenda i les aplicacions oficials. Mitjançant el programa bug bounty, que ofereix recompenses a canvi de destapar falles en el sistema, s'han trobat cinc vulnerabilitats en l'administració pública, que ja s'han solucionat i gestionat per evitar futurs atacs.

El procés s'ha portat a terme durant dues setmanes i ha estat supervisat per l'equip de resposta a incidents de l'Agència de Ciberseguretat de Catalunya, el Catalonia-CERT. També ha comptat amb la participació d'experts reputats en ciberseguretat que han ajudat de forma desinteressada.

Programes bug bounty

Els bug bounty són uns recursos emprats per detectar vulnerabilitats en sistemes informàtics o aplicacions mòbils. El seu funcionament es basa a oferir recompenses a persones alienes a les companyies o organitzacions propietàries de l'entorn web a qui destapi algun problema de seguretat. Aquests retribucions poden ser monetàries o en espècies.

Els bug bounty serveixen per complementar i ampliar l'eficàcia d'altres pràctiques enfocades a detectar les vulnerabilitats d'un programari. S'utilitza sobretot per reforçar la realització d'anàlisis d'infraestructures o testos de penetració, coneguts com a pentests. Aquestes proves es diferencien dels testos convencionals perquè es poden allargar en el temps.

Aquests programes són habituals en entorns privats o corporatius, però encara no estan normalitzats dins de l’administració pública. Després d'haver fet les proves, la Generalitat compta amb l'experiència per poder engegar més programes d'aquest tipus en futur amb l'objectiu de garantir la seguretat dels seus sistemes digitals.