José Ramón Palanco, CEO en Epic Bounties, tiene un objetivo claro con la plataforma: conseguir que Epic Bounties sea la plataforma sea la referencia mundial de habla hispana en el disputado mercado de programas de bug bounty en ciberseguridad.

A este proyecto se han sumado reconocidos personajes dentro del mundo de la ciberseguridad como Jaime Restrepo, fundador de la comunidad DragonJAR. Desde Epic Bounties se destaca la pretensión de contar en todo momento con los mejores investigadores españoles e iberoamericanos, prestar servicios a través de los principales MSSP y cumplir con los estándares normativos europeos.

Uno de los motivos por los que Epic Bounties ha priorizado el habla hispana es claro: no existe compañía así en el mercado hispano. Aun así, se encuentra una fuerte demanda que termina en proveedores de otros países. Algunas empresas que necesitan este tipo de servicios pueden encontrarse con la barrera del idioma para poder gestionar a los hunters, hablando con la plataforma en el mismo idioma en todo momento sin problemas. También las empresas pueden encontrar como ventaja la cercanía y la confianza en que, desde Epic Bounties se cumpliran con las normativas europeas: directiva de prevención de blanqueo de capitales, RGPD… En Epic Bounties ofrecemos a las organizaciones los mejores hunters locales, así como un trato mucho más cercano.

Os dejamos algunos comentarios sobre ciberseguridad y bug bounty de nuestro CEO, José Ramón Palanco.

Principales amenazas que se pueden evitar con Epic Bounties.

Las que más habituales se detectan son configuraciones erróneas de servidores, exposición de datos, acceso a servidores no mantenidos… Lo interesante de un programa como el de Epic Bounties es poder encontrar vulnerabilidades totalmente inesperadas.

Diferencias respecto a otros programas de Bug Bounty

Dentro del modelo de negocio de Epic Bounties se han incluido los MSSPs como pieza clave para el programa de bug bounty, añadiendo un valor añadido con esa apuesta. Epic Bounties ayuda a las empresas a poner en marcha los procedimientos necesarios para que los hunters puedan enviar las vulnerabilidades con las garantías legales necesarias.

Qué aportan a los CISOS

Una ventaja para los CISOS con los usos de programas de este tipo es poder detectar vulnerabilidades que no han aparecido ni con soluciones automáticas ni auditorías manuales. Esto es debido a que los hunters suelen hacer herramientas a medida para cada caso. Las herramientas automatizadas son muy genéricas y no valen para todos los escenarios. Los hunters pueden encontrar vulnerabilidades 365 días al año y la comunidad es muy extensa. También hemos encontrado una respuesta positiva de los CISOS al valorar que estos programas le permiten optimizar su presupuesto en ciberseguridad.

El retorno que se consigue con Bug Bounty

Las opciones más “tradicionales” solo abonan los fallos de seguridad encontrados. Sin embargo, desde una plataforma de bug bounty se ofrece una recompensa razonable al definir cómo de grave sería encontrar una vulnerabilidad en un activo. El impacto de una vulnerabilidad puede tener un coste de varios millones pero la recompensa es de miles de euros. De esta forma, el ROSI (Retorno de Inversión en Seguridad) va a ser mucho mayor que el de una auditoría que de por sí no garantiza encontrar esa vulnerabilidad. Desde Epic Bounties queremos aclarar que un programa de bug bounty.

Diferencias del mercado de bug bounty: España vs EE.UU

Se encuentra cierto desconocimiento sobre los programas de bug bounty en territorio hispanohablante, pero cuando se va dando a conocer, las organizaciones han mostrado interés en querer apostar por esta herramienta como valor añadido a su departamento de ciberseguridad. Todos los responsables de seguridad analizan las soluciones existentes, entre ellas el bug bounty. En España nos encontramos en una fase muy inicial pero ser irán viendo iniciativas como la que se ha realizado recientemente en la Generalitat Catalana. Las administraciones son conscientes de las ventajas que ofrece este nuevo modelo y trabajan en ello.