El Proyecto Zero de Google se pone estricto con las empresas con políticas de parches de seguridad laxas

Google Inc. tiene un equipo de élite de hackers y programadores llamado Proyecto Zero, así llamado por las fallas de seguridad de “día cero” que son explotadas antes de que los desarrolladores se enteren de ellas.

El Proyecto Zero examina su propio software y el de los competidores en busca de fallas de seguridad, dando a las empresas un plazo, más específicamente un ultimátum de 90 días para parchear sus vulnerabilidades de software o harán que sean de conocimiento público.

En un esfuerzo por “motivar” a competidores como Microsoft Corp. y Apple Inc. a arreglar su software defectuoso antes de que los verdaderos criminales cibernéticos aprovechen las fallas en su código sin parches. Por supuesto, tanto Microsoft como Apple no están interesados en esto.

Los opositores a la práctica del Proyecto Zero de Google dicen que pone en riesgo la seguridad en línea al revelar brechas antes de que puedan ser cerradas. Por supuesto, los hackers informados trabajan rápido para explotar intencionadamente las fallas de software cuando se hacen conocidas.

Considere cuando los intrusos respaldados por China explotaron una falla de seguridad web conocida como Heartbleed para atacar a Community Health Systems Inc. solo una semana después de que la falla de software fue publicitada.

Incluso, Apple suplicó a Google que esperara antes de hacer público el problema para que pudiera arreglar sus fallas en el sistema operativo Mac OS X. Google sabía que la solución estaba en camino y tenía en su poder el software fuente actualizado porque también actuaba como desarrollador para Apple en ese momento. Google se negó y publicó cualquier detalle sobre las fallas. Microsoft, también, solicitó tiempo adicional para arreglar una falla en su sistema operativo Windows. Google, nuevamente, se negó y publicitó el error.

Los partidarios de Google dicen que el enfoque rígido de 90 días del Proyecto Zero puede motivar a la industria del software a centrarse en mejores prácticas de parcheo de seguridad en las que las empresas pueden tardar meses o años en corregir sus errores.

Hasta la fecha, el Proyecto Zero de Google ha identificado 39 vulnerabilidades en productos de Apple y 20 en productos de Microsoft. El equipo también ha encontrado 37 fallas en el software de Adobe Systems Inc. y 22 en la biblioteca de desarrollo de software FreeType para renderizar fuentes.

Es algo bueno para los consumidores que el Proyecto Zero de Google haya asumido el papel de maestro de tareas de “parchearlo o lo informaremos”, ya que muchos de los productos de estas empresas pueden dejar a los usuarios vulnerables a ataques que pueden crear más problemas y mayores dificultades si no se controlan.

El Proyecto Zero acaba de trazar la línea en la arena, cómo reaccionen las empresas afectadas a esto determinará qué productos realmente puedes confiar con tus datos en el futuro.