En 2021, el Instituto Nacional de Ciberseguridad (Incibe) documentó 21.946 nuevas vulnerabilidades, un cinco por ciento más que en el año anterior. De ellas, más de la mitad eran de peligrosidad crítica o alta. Además, según el informe Ciberamenazas y Tendencias 2021 del CCN-CERT, los ciberatacantes muestran interés en vulnerabilidades encontradas en VPN, firewalls y entornos de trabajo remoto. Destacan las de ejecución remota de código.
Por tanto, detectar vulnerabilidades lo antes posible puede marcar la diferencia entre mantener la seguridad de una empresa o permitir que un ciberdelincuente llegue, casi literalmente, «hasta la cocina».
Los servicios de Bug Bounty privados llevan funcionando, en este sentido, alrededor de 10 años en mercados más maduros como el estadounidense. Ahora, por primera vez surge en el español la figura de un player nacional que pretende posicionarse como la referencia. Beneficiándose de la cercanía ya establecida con sus clientes, Entelgy Innotec Security ofrece una propuesta sólida de búsqueda de vulnerabilidades por recompensa que se apoya en el talento de su reconocido equipo de hacking y que complementa su catálogo de servicios ofensivos de Red Team como pentesting, Tiber Exercises o Atomic & Purple Team.
Este programa pretende dar servicio a organizaciones con una amplia superficie de exposición que no pueden dedicar altos presupuestos a buscar vulnerabilidades mediante un análisis exhaustivo e individual de sus activos. Supone un nivel más de seguridad para perímetros amplios que necesitan ser revisados regularmente para descartar la existencia de problemas importantes.
Ventajas del servicio ‘Bug Bounty’
Las ventajas del programa privado de búsqueda de vulnerabilidades son diversas:
-Una legislación conocida y un idioma común:
Hasta ahora, quienes se decidían a contratar un servicio de este tipo lo hacían mayoritariamente con compañías estadounidenses. Sin embargo, ¿qué legislación ampara a quien tiene un problema con el proveedor de un servicio extranjero? ¿Dónde tiene que litigar? El servicio de Bug Bounty privado de un proveedor nacional resuelve estas problemáticas. Es una oportunidad para quienes ven con recelo la inseguridad jurídica de contratar servicios sensibles a empresas externas. También resuelve la dificultad del idioma, ya que es más favorable trabajar en el nacional en cuestión de servicios delicados.
-Confidencialidad absoluta:
Apostar por un servicio de búsqueda de vulnerabilidades por recompensa ofrecido por una organización conocida hace que dicho servicio y el trabajo de quienes lo desarrollan estén sujetos a las cláusulas de confidencialidad y privacidad de la empresa. Se garantiza que la información y los resultados obtenidos estén siempre controlados, tengan un respaldo jurídico y nunca vayan a ser utilizados de forma maliciosa por quien presta el servicio.
Los servicios de Bug Bounty privados llevan funcionando unos 10 años en mercados más duros
-Confianza y control:
La detección de estas vulnerabilidades se hace de forma totalmente controlada. Con este servicio se identifican los activos objetivo para analizarlos y someter los hallazgos a triaje. El programa asegura la política de cero falsos positivos: las vulnerabilidades notificadas al cliente lo son al cien por cien. Solo se le informan de aquellas que le interesan, especialmente las altas y críticas.
El cliente recibe un entregable ágil con el detalle de esas vulnerabilidades en el momento en que son reportadas y sin esperar a la finalización del proyecto. Toda la actividad puede trazarse ofreciendo al cliente la garantía de que está controlada y monitorizada.
Además, al ser este servicio de Bug Bounty un complemento o ampliación de otros productos de seguridad ofensiva, el cliente se beneficia de tener una relación ya establecida con la empresa que presta el servicio.
-Asesoría personalizada:
No en todos los perímetros tiene sentido un servicio de Bug Bounty. Por eso, los profesionales de una compañía de confianza ayudarán al cliente a determinar cuál es la mejor estrategia para gestionar sus vulnerabilidades. Es una cuestión de revisar periódicamente con el servicio adecuado, encontrar y corregir.
-Los mejores profesionales con la máxima dedicación:
En este servicio se implican los profesionales con más experiencia porque son los que más fácilmente encuentran vulnerabilidades; incluso las más complejas. Es un equipo de hacking amplio y experimentado el que trabaja para detectar estos errores. Así se asegura agilidad y efectividad en el proceso.
-Rapidez de gestión:
Este programa tiene lugar ’24x7x365′. La dedicación es máxima y el servicio es flexible y ágil, con un arranque muy rápido.
En las primeras jornadas se reportan la mayoría de las vulnerabilidades. Las campañas se centran en recompensar a quien primero las encuentra. Se garantiza una intensa dedicación. Cuantas más personas haya detectando vulnerabilidades, más dedicación. Asimismo, el retorno de la inversión del proyecto es mayor porque por cada euro que se paga hay muchos profesionales dedicados a la búsqueda.
-Se paga por lo que interesa:
Este servicio se centra en recompensar a quien primero encuentra una vulnerabilidad. No se paga por dedicación, sino que la remuneración es incremental: cuanto mayor es la criticidad de la vulnerabilidad y más cuesta encontrarla, más se paga por ella.
Además, la principal preocupación de los clientes es no perder rápidamente su presupuesto para detectar vulnerabilidades que no le interesen. Por eso se le ofrece la posibilidad de establecer un plan que limite la fuga de recompensas trabajando siempre de forma priorizada y controlando que los hallazgos sean de su interés.
Este programa privado de Bug Bounty es idóneo para aquellas organizaciones que quieren ir un paso más allá en cuestión de ciberseguridad, que están interesadas en la gestión de sus vulnerabilidades, que no cuentan con los recursos necesarios para mantener un análisis continuo y exhaustivo de todos sus activos y que quieren dejar su seguridad en las mejores manos (y de mucha confianza).
‘Having a good time’
Dos décadas después de su constitución, Entelgy Innotec Security llega a su vigésimo aniversario siendo la principal compañía de servicios de ciberseguridad en España y una de las principales referencias en el mercado hispanoamericano. Con más de 550 profesionales altamente cualificados, da servicio a más de 250 organizaciones, entre las que se encuentran las principales compañías del IBEX 35 y los principales organismos públicos españoles e internacionales de referencia, como la OTAN, la Organización de Naciones Unidas, la Organización de los Estados Americanos, el Centro Criptológico Nacional/Centro Nacional de Inteligencia e Incibe.
