Este artículo es un homenaje a la Agencia de Ciberseguridad de Catalunya (ACC) por todas sus iniciativas tan pioneras y sobre todo por impulsar el bug bounty en la administración pública española.

Si bien los programas de bug bounty son habituales en las empresas privadas, aún no son una práctica común en el sector público. En 2016 tuvo lugar el primer programa de bug bounty del gobierno de EE.UU., "Hack the Pentagon", una iniciativa que resultó exitosa y que sigue activa hasta el día de hoy. En la UE, los Países Bajos han sido pioneros desde 2013, pero no fue hasta 2019, con el bug bounty EU-FOSSA 2, cuando la UE lanzó un programa destinado a detectar errores en el software de código abierto utilizado por las instituciones europeas.

En España, en diciembre de 2020, la ACC, junto con la Dirección General de Atención Ciudadana, fueron pioneras en la puesta en marcha de una prueba piloto de bug bounty sobre un conjunto de activos de la Generalitat de Cataluña. Durante dos semanas, un número reducido de reconocidos profesionales de la ciberseguridad participaron de manera altruista mediante una invitación personal y exclusiva.

A partir de esta experiencia positiva, la Agencia ha incorporado el Bug Bounty como una herramienta para mejorar la seguridad de los sistemas de información del sector público de Cataluña.

Licitación 2025 sobre Bug Bounty

El pasado 17 de marzo la ACC publicó el anuncio en la “Plataforma de serveis de contractació pública (PSCP)”. Con un valor estimado del contrato de 140.000€ +IVA, que se repartirá de la siguiente manera:

50.000€ para la plataforma adjudicataria del contrato

90.000€ a repartir entre los hackers que encuentren las vulnerabilidades.

Os invito a leer el pliego de cláusulas administrativas (58 páginas) y el pliego de prescripciones técnicas (28 páginas) porque tiene mucha chicha y tenemos la suerte de poder leerlo aquí.

¿Cómo ves tú el futuro del bug bounty en la administración pública española?, me encantaría saber tu opinión, te leo por correo

javier@secur0.com