Como parte de
su Project Zero, Google reveló en
diciembre un agujero de seguridad en Windows 8.1.
Project Zero, o Proyecto
Cero, consiste en que un grupo de elite detecta y revela vulnerabilidades en
Google y otros proveedores. Y cuando se
detecta un agujero de seguridad, la empresa concede 90 días para presentar un
parche, antes de que el Project Zero publique sus hallazgos.
Según se
indica, Project Zero habría detectado la vulnerabilidad en septiembre,
notificando inmediatamente a Microsoft. A pesar de disponer de 90 días,
Microsoft no logró parchear el error, pero Project Zero de todas formas dio a
conocer públicamente la vulnerabilidad.
Microsoft
publicó el 11 de enero una declaración donde se refiere al tema, que ha causado
debate en círculos dedicados a la seguridad informática.
En concreto,
Microsoft manifiesta su descontento por el hecho de que Google revelara la
información sólo días antes de que el parche de seguridad fuese puesto a
disposición de los usuarios, ignorando las peticiones de Microsoft de retener
la información hasta que el problema hubiese sido solucionado. A juicio de
Microsoft, haber retenido la información hubiera beneficiado directamente a los
usuarios, debido a que la vulnerabilidad habría permanecido protegida,
evitándose así su aprovechamiento por parte de terceros. Microsoft tenía planes
de publicar el parche mañana, 13 de enero, y había pedido a Google no revelar
el agujero hasta entonces. El director de seguridad de Microsoft, Christopher
Betz, escribe en el blog de la empresa que Google asegura que su intención es
cumplir con sus propios principios sobre plazos, pero que a él le queda la
impresión de que la empresa sólo busca jactarse.
Según
Microsoft, toma bastante tiempo evaluar las amenazas y desarrollar parches
adecuados. Microsoft tampoco está de acuerdo con la política de Google, en el
sentido que en los 90 días obligatorios van directamente en beneficio de la
mayoría de los usuarios.
“Para
nosotros no sería correcto hacer que nuestros expertos en seguridad busquen
vulnerabilidades en los productos de la competencia, presionándoles a
solucionarlas dentro de un plazo determinado, para posteriormente revelar
públicamente información que puede ser utilizada para explotar el agujero de
seguridad y atacar a los usuarios, antes de que haya una solución disponible”,
escribe Betz.
Microsoft
aboga por un mayor grado de cooperación, donde los expertos en seguridad
informática informen a los fabricantes de software sobre potenciales problemas
de seguridad mediante canales privados, cooperando con estos hasta que esté
disponible una solución y, por cierto, antes de dar a conocer públicamente la
información. “Es la mejor forma de beneficiar a los usuarios. Los procesos que
limitan o ignoran tal cooperación van en perjuicio de todas las partes”,
concluye señalando Betz.
Fuente:
Diarioti.com