A través de un comunicado, Google Project Zero reveló que a partir de ahora se otorgará a las organizaciones un periodo de 30 días para corregir las fallas día cero que sean descubiertas buscando acelerar el tiempo para el lanzamiento de parches de seguridad. Cabe recordar que el periodo de gracia establecido anteriormente era de 90 días después del informe inicial.
Esta unidad de investigación especializada señala que se retrasará la publicación de los detalles técnicos de las fallas corregidas hasta 30 días después del lanzamiento del parche inicial: “Los proveedores tendrán 90 días para el desarrollo de las actualizaciones correspondientes y 30 días adicionales para la implementación de los parches”, señala el reporte.
Este modelo, identificado como “90+30” permitirá a los desarrolladores “eliminar el vínculo entre el tiempo de parcheo y el tiempo de adopción del parche, además de reducir el debate sobre la compensación atacante/defensor y la divulgación de detalles técnicos cuando no se han actualizado los sistemas vulnerables”, señala el reporte de Project Zero.
Cabe mencionar que los detalles técnicos de las vulnerabilidades sin parchear durante el período de 90 días después de su descubrimiento aún se publicarán inmediatamente después de que finalice ese período de gracia. Project Zero también está aplicando una política similar a los exploits detectados en escenarios reales.
Según el nuevo plan de divulgación, si se lanza un parche durante el período de notificación de siete días, los investigadores no darán a conocer los detalles técnicos hasta 30 días después. Por otra parte, los proveedores cuyos productos se ven afectados por las fallas reportadas pueden solicitar un período de gracia de tres días antes de que Project Zero revele los detalles técnicos para la explotación.
La gestión de vulnerabilidades y la aplicación de parches han sido durante mucho tiempo una tarea difícil, especialmente para las organizaciones más grandes que tienen problemas para mantenerse al día con la aparición de cada nueva vulnerabilidad.
Incluso para las empresas orientadas al consumidor como Microsoft, Google y Apple, la aplicación de parches no siempre es tan fácil como esperan los proveedores. En ocasiones se debe a que los clientes no habilitan las actualizaciones automáticas de los dispositivos, dejándolos sin parches durante más tiempo del que deberían, aunque a veces son las propias empresas las responsables de un desfase entre el descubrimiento de una vulnerabilidad y un parche disponible. Google Project Zero cree que esto impactará de forma positiva en la experiencia final de usuarios, por lo que los cambios se implementarán de inmediato.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.