Concebido más como una experiencia piloto para comprobar las posibilidades y riesgo de este tipo de acciones, la Generalitat de Catalunya invitó a 15 hackers para llevar a cabo el primer bug bounty de una Administración Pública en España.
Más concretamente, esta acción se llevó a cabo durante dos semanas de diciembre. El objetivo, más allá de la detección de vulnerabilidades y errores, es que sirva de punto de partida para poder utilizar este tipo de programas en la Administración Pública para identificar vulnerabilidades en los sistemas de información y para prevenir posibles ataques.
La colaboración ciudadana, punto de partida y objetivo
Xavier Panadero Lleonart, Director del SOC de l’Agència de Ciberseguretat de Catalunya y del Catalonia-CERT, explica a Xataka que la idea de hacer este bug bounty se gesta con el estallido de la pandemia y todas las iniciativas de colaboración ciudadana que surgieron para intentar mitigar los efectos de la Covid-19, como respiradores y máscaras. “Hubo también un incremento de reporte de vulnerabilidades”, nos cuenta. “Nos planteamos la posibilidad de ir un paso más allá en nuestra labor, hacer algo más pionero y salir de nuestro modelo CERT clásico”. Y fue así como la idea de hacer un piloto de bug bounty fue tomando forma.
Panadero recalca en todo momento que el objetivo de este piloto es explorar, aprovechar y fomentar la colaboración ciudadana. “Tenemos que lograr que sea más abierta, pero también recíproca, porque hasta ahora siempre ha sido desinteresada”, explica.
Con este piloto, la Generalitat asegura haber explorado cómo se puede materializar ese reconocimiento a quienes dedican su tiempo y esfuerzo a localizar los posibles fallos de seguridad en los sistemas de la administración. “Debe ser una colaboración de proximidad, con agradecimiento a esa dedicación y colaboración. Esta prueba piloto nos sirve para entender cómo llevar a cabo esa colaboración”, subraya Panadero.
15 hackers por amor al arte
Este proyecto ha contado con la participación de 15 investigadores de ciberseguridad, la mayoría de España. Ninguno de ellos ha cobrado por esta acción, tal y como confirma a Xataka Antonio Fernandes, uno de los participantes, quien no obstante asegura que comparte con la Generalitat el objetivo de que más administraciones públicas se animen a llevar a cabo este tipo de prácticas. “Nos han dado una camiseta, un certificado y el reconocimiento de haber participado en este proyecto. Es una prueba interesante, pero la idea es que haya más y que se retribuyan como debe ser”, aclara.
Estos 15 investigadores tenían libertad para trabajar de forma aislada o en grupo. Antonio Fernandes detalla que “no nos dejaron ver mucho” (algunas aplicaciones y páginas web), pero que el programa se cerró con cinco vulnerabilidades encontradas: dos presentes en webs de la Generalitat y tres en aplicaciones corporativas. “La experiencia ha sido positiva, ha servido para mostrar que se pueden hacer cosas y encontrar fallos de más o menos alcance”, reflexiona.
Cabe señalar que el equipo de respuesta a incidentes Catalonia-CERT de la Agencia de Ciberseguridad de Cataluña estuvo supervisando en todo momento el desarrollo de la prueba piloto. Una vez que los investigadores dieron a conocer estos cinco fallos, el CERT se encargó de validar las vulnerabilidades identificadas y la gestión de su correspondiente solución para evitar posibles ataques en un futuro.
La Generalitat reconoce que esta prueba piloto ha sido limitada en tiempo y activos a analizar. Sin embargo, asegura que “los resultados han permitido constatar que el programa bug bounty es un mecanismo idóneo para incentivar la participación de los expertos en ciberseguridad de la sociedad civil con el objetivo de reforzar la seguridad los sistemas de información de la Administración Pública que apoyan a sus servicios públicos”.
Cómo resolver otras cuestiones técnicas
Xavier Panadero asegura que el objetivo de esta prueba piloto, más allá de fomentar la colaboración ciudadana, es servir a la administración para ver qué cuestiones debe resolver para poder poner en marcha este tipo de iniciativas. Cabe señalar que las administraciones públicas tienen su propio sistema de contratación y que deben cumplir una serie de pasos antes de poder poner en marcha este tipo de licitaciones.
“Todas estas cuestiones han aparecido al hacer este piloto. No soy experto en contratación pública, pero es evidente que hay que resolver una serie de cuestiones administrativas y legales para poner en marcha este tipo de iniciativas”, remarca Panadero, quien se muestra confiado en que estas cuestiones técnicas se resuelvan para poner en marcha nuevas experiencias de bug bounty en la administración pública. “No solo en Cataluña, sino en todas las administraciones. Esperamos que esta experiencia se aproveche”, explica.
Pocas experiencias europeas
Cabe señalar que son muy pocas las administraciones públicas, especialmente europeas, las que han puesto en marcha este tipo de iniciativas. En 2019 la Comisión Europea puso en marcha 14 programas relativos al software de código abierto, conocidos como EU-FOSSA. En Reino Unido también se han puesto en marcha este tipo de acciones.
Xavier Panadero asegura, además, que en los foros de ciberseguridad de las administraciones publicas hace tiempo que se viene hablando de las posibilidades de realizar estos proyectos de bug bounty. “En una iniciativa pionera como ésta, si alguien marca un punto de inflexión, el resto de las administraciones se acaba sumando. Si alguien da el paso y se ve que suma, el resto se anima”, asegura.
Por último, cabe señalar que no está permitido buscar fallos y errores en los sistemas informáticos, tanto públicos como privados, salvo que se autorice expresamente para ellos. Según el apartado 3 del artículo 197 del Código Penal, es ilegal hacer hacking aunque sea ético si no se ha concedido permiso para ello. La ley asegura que «el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».
