Como parte de su Project Zero, Google reveló en diciembre un agujero de seguridad en Windows 8.1. Project Zero, o Proyecto Cero, consiste en que un grupo de elite detecta y revela vulnerabilidades en Google y otros proveedores.
Cuando se detecta un agujero de seguridad, la empresa concede 90 días para presentar un parche, antes de que el Project Zero publique sus hallazgos.
Según se indica, Project Zero habría detectado la vulnerabilidad en septiembre, notificando inmediatamente a Microsoft. A pesar de disponer de 90 días, Microsoft no logró parchear el error, pero Project Zero de todas formas dio a conocer públicamente la vulnerabilidad.
Microsoft publicó el 11 de enero una declaración donde se refiere al tema, que ha causado debate en círculos dedicados a la seguridad informática.
En concreto, Microsoft manifiesta su descontento por el hecho de que Google revelara la información sólo días antes de que el parche de seguridad fuese puesto a disposición de los usuarios, ignorando las peticiones de Microsoft de retener la información hasta que el problema hubiese sido solucionado. A juicio de Microsoft, haber retenido la información hubiera beneficiado directamente a los usuarios, debido a que la vulnerabilidad habría permanecido protegida, evitándose así su aprovechamiento por parte de terceros. Microsoft tenía planes de publicar el parche mañana, 13 de enero, y había pedido a Google no revelar el agujero hasta entonces. El director de seguridad de Microsoft, Christopher Betz, escribe en el blog de la empresa que Google asegura que su intención es cumplir con sus propios principios sobre plazos, pero que a él le queda la impresión de que la empresa sólo busca jactarse.
Según Microsoft, toma bastante tiempo evaluar las amenazas y desarrollar parches adecuados. Microsoft tampoco está de acuerdo con la política de Google, en el sentido que en los 90 días obligatorios van directamente en beneficio de la mayoría de los usuarios.
“Para nosotros no sería correcto hacer que nuestros expertos en seguridad busquen vulnerabilidades en los productos de la competencia, presionándoles a solucionarlas dentro de un plazo determinado, para posteriormente revelar públicamente información que puede ser utilizada para explotar el agujero de seguridad y atacar a los usuarios, antes de que haya una solución disponible”, escribe Betz.
Microsoft aboga por un mayor grado de cooperación, donde los expertos en seguridad informática informen a los fabricantes de software sobre potenciales problemas de seguridad mediante canales privados, cooperando con estos hasta que esté disponible una solución y, por cierto, antes de dar a conocer públicamente la información. “Es la mejor forma de beneficiar a los usuarios. Los procesos que limitan o ignoran tal cooperación van en perjuicio de todas las partes”, concluye señalando Betz.
—
Ilustración: Ken Wolter © Shutterstock.com
