Tras la discusión la semana pasada entre Microsoft y Google por la divulgación de una vulnerabilidad “día-cero” en Windows, el popular buscador ha dicho ayer que 7 días son suficientes para reportar las vulnerabilidades críticas que están bajo ataques de explotación.
Esta posición de Google vuelve a poner en la mesa el tema de la divulgación de vulnerabilidades, polémico entre los fabricantes y los investigadores de seguridad. ¿Es conveniente poner plazos para divulgar vulnerabilidades? ¿Para quién?
Se pone de nuevo el dedo en la llaga: Divulgar o no divulgar. Hay quienes opinan que debe divulgarse inmediatamente, otros piensan que el hallazgo debe quedar entre el investigador y el fabricante, y los hay que dicen que no debe publicarse nada. En el centro, la seguridad del usuario. Se trata de un secreto sólo para unos cuantos, expertos unos, atacantes otros. Y donde el usuario nada sabe, nada puede hacer para protegerse.
Es cierto, publicar los fallos de seguridad tiene el riesgo de que los cibercriminales desarrollen los mecanismos necesarios para explotarla. Pero descubrir fallos de seguridad no es exclusivo de los investigadores de seguridad de tal compañía. También el atacante puede descubrirlos -y sólo él conocerlos- y utilizarlos en su beneficio, ya sea generando el código de explotación para usarlo en ataques o vendiendo dicho código en el mercado negro de Internet.
Es lógico pensar que ante la publicación de un fallo de seguridad, el fabricante del software defectuoso se ponga a trabajar en la solución y la publique lo más pronto posible. Pero no es así. Considerando los 7 días que recomienda Google, estos no fueron suficientes para que los fallos recientes en Java e Internet Explorer dispusieran de la solución por parte del fabricante. Los usuarios estuvieron en riesgo por los ataques de cibercriminales. Nos enteramos de ataques exitosos por la divulgación mediática de algunas organizaciones conocidas.
Y nos estamos refiriendo a vulnerabilidades que fueron descubiertas porque están siendo explotadas activamente. Algunas de ellas con varios años de ataque. ¿Y las que no han sido descubiertas y que se pueden estar aprovechando en ataques persistentes?
Las vulnerabilidades “día-cero” son las de mayor riesgo para los usuarios debido a que no se cuenta con parche de seguridad y están siendo explotadas por los atacantes, sin que el usuario se de cuenta de ello.
Google recomienda 7 días para reportar estos fallos críticos y así los usuarios puedan saber qué medidas tomar para mitigar los riesgos asociados en tanto el fabricante publica el parche de seguridad.
Bien se dice por ahí que una vulnerabilidad es suficiente para romper la seguridad de la organización. En este caso, si la vulnerabilidad es crítica y sin parche, entonces la seguridad de la organización queda endeble. No se trata de poner plazos a las correcciones de seguridad o para la divulgación de la vulnerabilidad, sino de proteger al usuario haciendo de su conocimiento casi de inmediato las medidas que debe implementar para protegerse frente a ataques derivados por fallos de seguridad en el software.