Los lectores opinan: ¿Cuándo se debe divulgar una vulnerabilidad?

El caso Fortnite para Android ha vuelto a traer el debate sobre la divulgación pública de vulnerabilidades de software. En general, y en concreto por Google. Unos opinan que una medida imprescindible para corregirlas lo más rápidamente posible y mejorar la seguridad global. Otros entienden que el gigante de Internet lo aprovecha para presionar a los competidores y en el caso que da pie a esta entrada, añadiendo intereses comerciales a la ecuación.

Para ponerte en situación. Google estrenó en el verano de 2014 un ambicioso proyecto bautizado como Project Zero que incluía un importante equipo de especialistas en seguridad con un objetivo concreto: localizar vulnerabilidades en software de terceros. 

Además, anunció que las vulnerabilidades que fueran encontrándose se publicarían en una base de datos externa y amplió el programa de recompensas propio de Google para abrirlo también a investigadores externos que descubrieran problemas en algún software de terceros. Desde entonces, el proyecto de Google ha contribuido muy positivamente a la seguridad global descubriendo centenares de vulnerabilidades, algunas tan importantes como las relativas a los fallos de seguridad en procesadores, Spectre y Meltdown.

¿Cuándo se debe divulgar una vulnerabilidad?

En la mayoría de los casos, Google ha informado internamente al proveedor afectado, éste la ha parcheado y posteriormente se ha hecho pública. Sin embargo, en algunos casos, los choques con otras tecnológicas (a la postre competidoras) se han sucedido. Especialmente por el tiempo que Google ha establecido para la divulgación pública de las vulnerabilidades encontradas que -por defecto- es de 90 días.

Google ha tenido serios conflictos con empresas como Microsoft. En varios casos. El primero sucedió a comienzos de 2015 e ilustra la problemática. Google encontró una vulnerabilidad Zero Day (para la que no se conoce solución) que permitiría eventualmente una elevación de privilegios y el control de equipos con Windows 8.1. Google informó internamente a Microsoft de esta vulnerabilidad y bajo las políticas de divulgación de Project Zero le comunicó que la haría pública en 90 díasMicrosoft no lo parcheó y Google la publicó en el plazo indicado detallando su posible explotación.

La respuesta de Microsoft no se hizo esperar y criticó que un competidor publicase una vulnerabilidad sin que el proveedor de software la hubiera parcheado estimando una “presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio”. Microsoft señaló directamente que la política de Google iba en contra de la seguridad de los clientes porque permitía que fueran atacados antes de haber creado una solución.

Caso Fortnite para Android

Epic Games fue criticado por no distribuir el juego a través de la tienda oficial Google Play. La decisión se explicó por el 30% de comisión que se lleva la tienda de Google (como la de Apple o la de Microsoft) por cada venta, lo que para la desarrolladora suponía un “problema de eficiencia” en términos económicos.

La exclusión del juego de la tienda oficial llevó a Google a mostrar advertencias a cualquier usuario que realizara búsquedas sobre el juego, indicando los riesgos de seguridad que conlleva la descarga e instalación de un juego como este fuera de la tienda oficial, aunque se tratase de una distribución desde el portal web oficial de Epic Games y la necesaria habilitación en el terminal de instalación de aplicaciones de fuentes desconocidas.

Y lo anunciado sucedió, aunque fue peor de lo esperable porque el fallo llegó de la misma desarrolladora. Una semana después del lanzamiento, un ingeniero de Google reveló que la primera versión del instalador de Epic tenía un grave fallo de seguridad que ponía en riesgo a los usuarios de Android

Epic parcheó rápidamente el instalador y fue entonces cuando Google publicó el fallo sin esperar a los 90 días por defecto, explicando que el tiempo de divulgación más corto es solo una política normal cuando se soluciona rápidamente una situación.

El CEO de Epic Games, Tim Sweeney, lo calificó como una “decisión irresponsable que ponía en peligro a los usuarios”. y fue más lejos, al asegurar que era una especie de “venganza” como consecuencia de su decisión de no lanzar el juego en la tienda oficial.

Las preguntas para el debate son claras y te invitamos a participar sobre ellas o sobre lo que quieras comentar de este tema:

  • ¿Cuándo se debe divulgar una vulnerabilidad?
  • ¿Debe hacerse caiga quien caiga y en cualquier circunstancia transcurrido el plazo?
  • ¿Son razonables los 90 días establecidos por el Project Zero?
  • ¿Debe retenerse la divulgación pública hasta que la vulnerabilidad no haya sido parcheada?
  • ¿Y si como ha sucedido en muchas ocasiones la vulnerabilidad nunca se parchea?
  • ¿Aprovecha Google el proyecto para presionar a los competidores o beneficiarse comercialmente?
  • ¿O es la disculpa para no trabajar como se debería en el parcheo de software?

La entrada Los lectores opinan: ¿Cuándo se debe divulgar una vulnerabilidad? se publicó primero en MuyComputer.


Comentarios

Entradas populares de este blog

Seat Ateca, vistas

Hyundai Staria, calibre

Alienware Area-51m, el portátil gamer más potente