Telefónica Tech prepara una plataforma privada de 'bug bounty' para que los hackers opten a recompensas por detectar brechas de seguridad en empresas

ElevenPaths, la división de ciberseguridad de Telefónica Tech, está preparando una plataforma de bug bounty que lanzará este año para sus clientes.

Así lo confirma Alberto Cuesta, responsable de los Servicios de Detección y Respuesta Gestionada (MDR, por sus siglas en inglés) y Seguridad Ofensiva de ElevenPaths: "Estamos trabajando en un servicio de bug bounty para nuestros clientes". El objetivo de esta nueva solución de Telefónica Tech será cubrir un vacío que hay en España.

Leer más: Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

El bug bounty es un fenómeno creciente en el mundo de la ciberseguridad. ¿En qué consiste? En resumidas cuentas, en que las compañías cuelguen en una plataforma el producto al que quieren someter a un test de ciberseguridad. Hackers voluntarios se ofrecen a realizar servicios de pentesting (tests de penetración). En función del tipo de vulnerabilidad que descubran —si es que descubren alguna—, las compañías afectadas podrán tomar medidas y parchear el problema. Y, por supuesto, pagarle una suculenta recompensa al experto en seguridad informática.

Será una plataforma segura a la que los hackers accederán por invitación

El área de bug bounty en el que trabaja ElevenPaths no funcionará exactamente así: la plataforma en la que están trabajando no será como las más conocidas del sector —Bugcrowd o HackerOne—. "Será privada: los investigadores necesitarán una invitación por parte de ElevenPaths para participar en los programas de recompensas de los clientes que contraten esta modalidad", explica Cuesta a Business Insider España.

Leer más: Álvarez-Pallete asegura que las telecos europeas han entrado en una nueva fase con más fusiones y mejores valoraciones

De este modo, la división de Telefónica Tech no pretende "hacer algo parecido" a las citadas plataformas, ya que su intención es "tener más control sobre quién participa en el programa y poder dar más garantías a nuestros clientes para que se animen a probar este modelo".

Cuando una empresa realiza un programa de bug bounty en una plataforma pública, se expone a que hackers de todo el mundo comprometan su seguridad informática. El objetivo no es otro que hacer una labor de auditoría.

En estos procesos, los hackers se ven obligados a firmar una importante cantidad de acuerdos de confidencialidad. Pero aun así, existe el temor de muchas empresas, sobre todo en España, a que su integridad y confidencialidad se vea vulnerada. Telefónica Tech quiere evitar que esto sea así contando con los servicios de hackers de confianza.

El sector de las bug bounties en España todavía está por inexplorado, a pesar de que el propio Cuesta confirma que varios de los hackers empleados en Telefónica son usuarios de las plataformas más conocidas. 

Cuesta explica a Business Insider España que, cuando una empresa contrata los servicios de una plataforma pública de bug bounty, al final está autorizando el ataque controlado a sus sistemas informáticos por parte de investigadores de todo el mundo. La plataforma de ElevenPaths pretende así crear un entorno todavía más seguro para que las empresas españolas apuesten por este modelo, útil para mejorar la ciberseguridad de las compañías.

Ignacio Brihuega, coordinador del equipo de Hacking Ético de ElevenPaths, señala que este tipo de programas de recompensas pueden ser muy rentables para las empresas que los contraten, ya que son las mismas compañías las que deciden qué informes de vulnerabilidad aceptan y cuáles no.

Esta nueva plataforma de bug bounty es una de las principales novedades en el ámbito de la ciberseguridad que prepara Telefónica Tech, el nuevo holding fruto de la reestructuración societaria y organizativa de la multinacional española. Asumirá todos los negocios de la firma en el ámbito de la ciberseguridad, el big data y la inteligencia artificial, y su CEO es José Cerdán, hasta ahora responsable Global de B2B de Telefónica.

El mercado español de las recompensas para hackers

En España, las experiencias en el mundo de las recompensas para hackers no han prosperado demasiado. En parte, por la falta de confianza de las empresas españolas. CazHack es una compañía con sede en Barcelona que también ofrece programas de bug bounty  privados. Una de sus fundadoras, Paula Pardo, explicaba a Business Insider España el pasado mes de marzo que, en el país, este camino "está entero por recorrer".

"No hay grandes empresas españolas que hagan programas públicos de bug bounty o que digan abiertamente que tienen programas privados en marcha, aunque sí que las hay", incidía.

Leer más: Google abrirá un centro de datos en Madrid gracias a un nuevo acuerdo con Telefónica, que aprovechará para impulsar su división de servicios en la nube, inteligencia artificial y big data

Precisamente, el pasado marzo se celebró en Madrid la RootedCon, uno de los principales eventos de ciberseguridad del país. La edición de este año incluyó una Hacker Night en la que medio centenar de investigadores en ciberseguridad pudieron celebrar en tiempo real una caza de recompensas. Los objetivos fueron una página web creada ex profeso por parte de la Administración pública y la plataforma de home banking de una importante entidad del IBEX 35.

Una de las plataformas referentes del bug bounty en Europa es la francesa YesWeHack. En ella están registrados más de 15.000 hackers de 140 países y tienen clientes —empresas— en 15 regiones distintas. La mayor recompensa pagada hasta la fecha fue de 20.000 euros en 2019. Deezer, Blablacar u Orange trabajan con ella.

El director gerente de YesWeHack, Rodolphe Harand, explicaba hace unos meses a Business Insider España que, mientras los países nórdicos tienen muy avanzadas este tipo de iniciativas, en el resto de Europa siguen "latentes, aunque con algunos signos de cambio".

"En España el mercado no está muy avanzado, aunque algunos bancos importantes y plataformas de comercio electrónico han empezado a confiar en nosotros", admitía entonces.

Los incidentes informáticos son uno de los mayores riesgos a los que se enfrentan las empresas españolas. A finales del año pasado, la consultora Everis y la Cadena Ser sufrieron un ataque de ransomware que les obligó a paralizar algunas de sus operaciones momentáneamente, aunque en el caso de la radio no cesó su programación.