Red Seguridad 098

100 red seguridad tercer trimestre 2022 opinión En 2021, el Instituto Nacional de Ciber- seguridad (Incibe) documentó 21.946 nuevas vulnerabilidades, un cinco por ciento más que en el año anterior. De ellas, más de la mitad eran de peligro- sidad crítica o alta. Además, según el informe Ciberamenazas y Tendencias 2021 del CCN-CERT, los ciberatacantes muestran interés en vulnerabilidades encontradas en VPN, firewalls y entornos de trabajo remoto. Destacan las de eje- cución remota de código. Por tanto, detectar vulnerabilidades lo antes posible puede marcar la diferencia entre mantener la seguridad de una em- presa o permitir que un ciberdelincuente llegue, casi literalmente, “hasta la cocina”. Los servicios de Bug Bounty privados llevan funcionando, en este sentido, al- rededor de 10 años en mercados más maduros como el estadounidense. Aho- ra, por primera vez surge en el español la figura de un player nacional que pre- tende posicionarse como la referencia. Beneficiándose de la cercanía ya esta- blecida con sus clientes, Entelgy Innotec Security ofrece una propuesta sólida de búsqueda de vulnerabilidades por re- compensa que se apoya en el talento de su reconocido equipo de hacking y que complementa su catálogo de servicios ofensivos de Red Team como pentesting , Tiber Exercises o Atomic & Purple Team . Este programa pretende dar servicio a organizaciones con una amplia su- perficie de exposición que no pueden dedicar altos presupuestos a buscar vulnerabilidades mediante un análisis exhaustivo e individual de sus activos. Supone un nivel más de seguridad para perímetros amplios que necesitan ser revisados regularmente para descartar la existencia de problemas importantes. Ventajas Las ventajas del programa privado de bús- queda de vulnerabilidades son diversas: Una legislación conocida y un idio- ma común: Hasta ahora, quienes se decidían a con- tratar un servicio de este tipo lo hacían mayoritariamente con compañías esta- dounidenses. Sin embargo, ¿qué legisla- ción ampara a quien tiene un problema con el proveedor de un servicio extranje- ro? ¿Dónde tiene que litigar? El servicio de Bug Bounty privado de un proveedor nacional resuelve estas problemáticas. Es una oportunidad para quienes ven con recelo la inseguridad jurídica de contratar servicios sensibles a empresas externas. También resuelve la dificultad del idioma: es más favorable trabajar en el nacional en cuestión de servicios de- licados. Confidencialidad absoluta: Apostar por un servicio de búsqueda de vulnerabilidades por recompensa ofrecido por una organización conoci- da hace que dicho servicio y el trabajo de quienes lo desarrollan estén sujetos a las cláusulas de confidencialidad y privacidad de la empresa. Se garantiza que la información y los resultados obte- nidos estén siempre controlados, tengan un respaldo jurídico y nunca vayan a ser utilizados de forma maliciosa por quien presta el servicio. ‘Bug Bounty’: a la caza de vulnerabilidades por recompensa G onzalo S ánchez D elgado Responsable del Departamento de Hacking de Entelgy Innotec Security Los servicios de ‘Bug Bounty’ privados llevan funcionando unos 10 años en mercados más maduros