Google reveló en diciembre del año pasado un informe en que describía el funcionamiento de una vulnerabilidad de seguridad de Windows 8.1. Esto lo realizó a través del denominado Project Zero, que consiste en que un grupo de elite detecta y revela vulnerabilidades en Google y otros fabricantes.
La política de divulgación de vulnerabilidades publicada por Google dice que la empresa concede 90 días al fabricante involucrado para presentar un parche, y que luego Project Zero publicará los hallazgos.
Project Zero habría detectado la vulnerabilidad en septiembre, notificando inmediatamente a Microsoft. Al pasar los 90 días, Microsoft no había solucionado el error y Project Zero dio a conocer públicamente la vulnerabilidad.
Microsoft manifestó su descontento por el hecho de que Google revelara la información sólo días antes de que el parche de seguridad fuese puesto a disposición de los usuarios, ignorando las peticiones de retener la información hasta que el problema hubiese sido solucionado. La empresa fundada por Bill Gates consideró que haber retenido la información hubiera beneficiado directamente a los usuarios, debido a que la vulnerabilidad habría permanecido ignorada, evitándose así su aprovechamiento por parte de terceros. Microsoft tenía planes de publicar el parche el 13 de enero pasado, y había pedido a Google no informar sobre el problema hasta entonces. El director de seguridad de Microsoft, Christopher Betz, escribió en el blog de su empresa que Google aseguró que su intención fue cumplir con sus propios principios sobre plazos, pero que a él le queda la impresión de que la empresa sólo buscó lograr un efecto publicitario.
Microsoft explicó que toma bastante tiempo evaluar las amenazas y desarrollar parches adecuados y que tampoco está de acuerdo con la política de Google porque considera que en los 90 días obligatorios van directamente en beneficio de la mayoría de los usuarios.
“Para nosotros no sería correcto hacer que nuestros expertos en seguridad busquen vulnerabilidades en los productos de la competencia, presionándoles a solucionarlas dentro de un plazo determinado, para posteriormente revelar públicamente información que puede ser utilizada para explotar el agujero de seguridad y atacar a los usuarios, antes de que haya una solución disponible”, escribió Betz.
Microsoft aboga por un mayor grado de cooperación, donde los expertos en seguridad informática informen a los fabricantes de software sobre potenciales problemas de seguridad mediante canales privados, cooperando con estos hasta que esté disponible una solución y, por cierto, antes de dar a conocer públicamente la información. “Es la mejor forma de beneficiar a los usuarios. Los procesos que limitan o ignoran tal cooperación van en perjuicio de todas las partes”, concluyó Betz.
Compartir nota:
