Google ha anunciado un cambio significativo en su política de divulgación de vulnerabilidades,implementando un sistema que permitirá compartir públicamente las fallas de seguridad dentro de una semana tras haberlas reportado a los respectivos vendedores. Esto tiene como objetivo reducir el tiempo entre la disponibilidad de un parche y su implementación por parte de los usuarios, abordando así el problema del “upstream patch gap”. Este término se refiere al retraso que hay entre la creación de un parche por parte de un vendedor y la adopción de dicho parche por los usuarios finales.
Un riesgo si los afectados no trabajan rápido
El equipo de Project Zero, especializado en identificar y estudiar vulnerabilidades de zero-day, ahora hará públicas las vulnerabilidades detectadas con información clave que incluye el producto afectado, el nombre del vendedor y las fechas tanto del reporte como de la expiración del plazo de divulgación de 90 días. Tim Willis, líder de Project Zero, ha enfatizado que esta acción no solo aportará presión pública sobre las vulnerabilidades no corregidas, sino que también facilitará una comunicación más ágil entre vendedores y clientes.
El enfoque de Google incluye asegurar que los primeros reportes de vulnerabilidades no revelen detalles técnicos que podrían ser aprovechados por potenciales atacantes. Una vez que un vendedor tenga acceso a un parche, se brindan 30 días a los consumidores para implementar la solución antes de que se divulgue información más técnica sobre la vulnerabilidad.
La necesidad de este cambio se hace evidente ante el preocupante incremento de las vulnerabilidades de zero-day, con 75 casos documentados y explotados el año pasado. Según el informe anual de Mandiant, los ataques están dirigiéndose cada vez más a una variedad más amplia de tecnologías, mostrando la urgencia de una respuesta más rápida y eficiente por parte de los fabricantes.
Con este nuevo enfoque, Google espera contribuir a un ecosistema más seguro, donde las vulnerabilidades se remedien de manera efectiva en los dispositivos y sistemas que utilizan los usuarios diariamente.
