Google anunció una nueva política para su equipo de ciberseguridad, Project Zero, en el que se ofrecerán 90 días completos a las empresas para parchar vulnerabilidades antes de hacerlas públicas. Lo anterior aplicará incluso si el fallo ha sido solucionado, contrario a lo que ocurría en años anteriores.
El cambio será aplicado durante todo 2020 como prueba y servirá para que Google analice si se queda de manera definitiva. Esto representa un respiro para el usuario final, ya que anteriormente Project Zero hacía público el fallo de seguridad al momento que las empresas lo solucionaban, aunque esto no garantizaba que todos los usuarios descargaban y aplicaban el parche correspondiente.
¿Solucionó un fallo en 20 días? Publicaremos todos los detalles el día 90 ¿Arregló el fallo en 90 días? Publicaremos todos los detalles el día 90
Google indicó que si existe un acuerdo mutuo entre el proveedor y Project Zero, la información de la vulnerabilidad puede ser anunciada al público antes de los 90 días. De acuerdo con las cifras de los últimos cinco años, el equipo de ciberseguridad afirma que el 97,7% de los errores se solucionan dentro del periodo establecido antes de divulgarlo.
Según Project Zero, el tema de los 90 días sigue siendo controversial y algunas empresas los han contactado para realizar cambios. Los investigadores aseguran que su objetivo principal es agilizar el desarrollo de parches
Queremos hacer que los ataques con exploits de día cero sean más costosos. Hacemos esto a través de la lente de la investigación de vulnerabilidad ofensiva y la evidencia de cómo se comportan los atacantes reales.
Si los parches tomaran más tiempo para desarrollarse e implementarse, los proveedores tendrían que lidiar con más fallos de los que pueden solucionar. Según Google, esto representaría "un esfuerzo hecúleo" para que todo vuelva a la normalidad.