Las empresas privadas más punteras ya conocen este sistema de recompensas llamado bug bounty; no así la administración pública, que es ahora cuando está empezando a descubrirlo gracias a un programa impulsado este año por la Generalitat de Cataluña.

Este sistema consiste en dar acceso a especialistas informáticos e investigadores a determinados puntos sensibles de una organización para que, a cambio de un determinado premio o recompensa, detecten vulnerabilidades cibernéticas.

Es lo que se conoce también con el nombre de hackeo ético o, como explican en la administración pública catalana, el "hackeo que construye y no destruye".

[Más de la mitad de los hogares de Cataluña están en situación de "vulnerabilidad digital"]

Decíamos que el gobierno regional de Cataluña ha sido pionero este año en introducir esta fórmula en sus procesos y estrategias relacionadas con la ciberseguridad. Fue en abril cuando empezó el programa y en un balance reciente se han notificado hasta siete vulnerabilidades importantes -dos de ellas con un alto nivel crítico-.

El plan, por cierto, se prolongará un año más como mínimo, explican fuentes del gobierno catalán, que destinará 70.000 euros para premiar las vulnerabilidades encontradas por el conjunto de investigadores especialistas en ciberseguridad que participan.

El secretario de Telecomunicaciones y Transformación Digital, Sergi Marcén, ha subrayado que "Cataluña no solo debe ser digital, debe ser referente en la transformación digital y tener una posición de liderazgo en capacitación, colaboración e innovación".

Conviene destacar que este tipo de procesos se desarrollan de manera paralela y complementaria a los escaneos tradicionales de los que dispone cualquier entidad a la hora de buscar sus puntos débiles.

[Ser un territorio de excelencia en ciberseguridad: el sueño de Galicia que no podrá materializarse hasta 2025]

"Si no tuviéramos iniciativas como estas, los piratas informáticos sólo verían un espacio para focalizar su vocación en la internet oscura y, por lo tanto, en el tipo de hacking que destruye. Nosotros queremos el hacking que construye", ha destacado el director de la Agencia de Ciberseguridad de Cataluña, Tomàs Roy.

Ni que decir tiene que, gracias a la implantación de este sistema de protección, la región promueve indirectamente el talento en torno a esta disciplina de hacking ético, multiplica las capacidades de protección y prevención y fomenta la innovación en la ciberseguridad de los sistemas digitales.

"El compromiso de la administración pública catalana para ofrecer los mejores servicios públicos posibles a la ciudadanía y empresas conlleva la obligación de transformarse digitalmente, adoptar nuevas tecnologías y orientar los procesos al dato", explican desde la Generalitat.

Ahora bien -añaden-, "al mismo tiempo que los entornos digitales complejos crecen, también lo hace el nivel de ciberamenaza". En este sentido, la Agencia de Ciberseguridad de Cataluña, aparte de los programas de ciberseguridad y la monitorización constante de los sistemas integrados en el perímetro de ciberseguridad, lleva a cabo acciones como los escaneos de vulnerabilidades y los análisis de pentest (la simulación de un ataque a un software o hardware con el objetivo de encontrar vulnerabilidades para prevenir ataques externos).

"Llegar donde los escaneos habituales no llegan"

Estas pruebas se complementarán durante todo un año con la realización del programa de búsqueda de vulnerabilidades, que consiste en dar acceso controlado a activos específicos de la administración a un conjunto de investigadores de seguridad informática, especializados en la detección de puntos vulnerables en los sistemas informáticos.

Por medio de este programa "nos aseguramos llegar allí donde los escaneos habituales no pueden, incrementamos la posibilidad de identificar posibles vulnerabilidades aprovechando la inteligencia colectiva en Cataluña -con la participación de la comunidad de investigadores- y hacemos una supervisión continuada de la seguridad, dado que tiene una duración larga".

Desde la Generalitat confirman que "en el sector privado, acciones de hackeo ético son una práctica consolidada, pero en el sector público todavía no son comunes".

Conviene recordar que, en el mes de diciembre de 2020, la Agencia de Ciberseguridad de Cataluña, con la colaboración de la de Dirección General de Servicios Digitales y Experiencia Ciudadana (Atención Ciudadana entonces), puso en marcha una prueba piloto de búsqueda de vulnerabilidades sobre un conjunto de activos de la Generalitat.

Gracias a las conclusiones positivas en la experiencia de 2020, la administración catalana decidió incorporar los programas de este tipo como una nueva herramienta para conseguir unos sistemas de información públicos más seguros, promover la participación y el talento en ciberseguridad y aproximar la administración pública a la ciudadanía.

Por este motivo desde la Secretaría de Telecomunicaciones y Transformación Digital se ha iniciado el programa, ya no como un piloto, sino como una nueva acción en la ciberseguridad de la región.