Mantener el ecosistema de productos y servicios digitales seguro requiere del compromiso de todas las partes que intervienen en su desarrollo, distribución y uso, y por ello Google ha anunciado un conjunto de iniciativas con las que busca ofrecer mayor transparencia sobre la implementación de parches de seguridad y proteger a los investigadores que identifican las vulnerabilidades que lo ponen en riesgo.
La compañía tecnológica quiere romper con el ciclo de las vulnerabilidad de seguridad, que siempre se repite: se identifica una vulnerabilidad, se corrige con un parche y aparece otra vulnerabilidad. Para ello, ha publicado un ’Libro blanco’ en el que destaca los problemas propios de este entorno, recoge las mejores prácticas y comparte las medidas que ha adoptado.
El trabajo recogido en este ’Libro Blanco’ es fruto de la experiencia de Project Zero, el equipo de investigación en ciberseguridad de Google, especializado en identificar vulnerabilidades de día cero, es decir, aquellas descubiertas antes de que los desarrolladores hayan creado un parche que las solucione.
Al respecto, la compañía ha destacado que una tercera parte de las vulnerabilidad de día cero explotadas que se analizaron en 2022 se correspondían a variantes de vulnerabilidades que previamente habían sido parcheadas.
Esto se debe, como ha apuntado Google, a que algunos fabricantes o desarrolladores no aplican de forma completa los parches para la vulnerabilidad original, una situación que ha motivado una serie de iniciativas encaminadas a responder a los riesgos que esto plantea.
En concreto, Google propone una mayor transparencia en el ciclo de parcheamiento de las vulnerabilidades, prestando atención a los puntos de fricción y dirigiéndose hacia la causa de las vulnerabilidades. También propone proteger a los investigadores que descubren estos problemas de seguridad antes de que sean explotados por ciberdelincuentes, ya que a veces ’’sus contribuciones no son bienvenidas o se malinterpretan’’.
Asimismo, y para apoyar el ecosistema de fabricantes, desarrolladores, investigadores y usuarios, Google ha anunciado este jueves el ’Consejo de Políticas de Hacking’. Se trata de un grupo abogará por políticas de sentido común relacionadas con la divulgación y gestión de vulnerabilidades, como detalla en una nota de prensa.
Este grupo se está formando como un proyecto dentro del Center for Cyber Policy and Law, en Estados Unidos. Entre los miembros del Consejo se encuentran Intel, Luta Security, HackerOne, BugCrowd e Integriti.
También ha anunciado un ’Fondo de Defensa Legal para la Investigación en Seguridad’, una organización independiente sin ánimo de lucro para proteger a los investigadores de seguridad que actúan de buena fe; y la incorporación a sus políticas del compromiso con la transparencia sobre la explotación, por la que se comprometer a divulgar públicamente las pruebas que tenga de que las vulnerabilidades en cualquier de sus productos han sido explotadas.
Fuente: (EUROPA PRESS)
