Web Analytics
Conecta con nosotros

A Fondo

Los lectores opinan: ¿Cuándo se debe divulgar una vulnerabilidad?

Publicado el

El caso Fortnite para Android ha vuelto a traer el debate sobre las políticas de divulgación pública de vulnerabilidades de software. En general por firmas de seguridad y en concreto por Google. Unos opinan que es una medida imprescindible para corregirlas lo más rápidamente posible y mejorar la seguridad global. Otros entienden que el gigante de Internet lo aprovecha para presionar a los competidores y en el caso que da pie a esta entrada, añadiendo intereses comerciales a la ecuación.

Para ponerte en situación. Google estrenó en el verano de 2014 un ambicioso proyecto bautizado como Project Zero que incluía un importante equipo de especialistas en seguridad con un objetivo concreto: localizar vulnerabilidades en software de terceros. 

Además, anunció que las vulnerabilidades que fueran encontrándose se publicarían en una base de datos externa y amplió el programa de recompensas propio de Google para abrirlo también a investigadores externos que descubrieran problemas en algún software de terceros. Desde entonces, el proyecto de Google ha contribuido muy positivamente a la seguridad global descubriendo centenares de vulnerabilidades, algunas tan importantes como las relativas a los fallos de seguridad en procesadores, Spectre y Meltdown.

¿Cuándo se debe divulgar una vulnerabilidad?

En la mayoría de los casos, Google ha informado internamente al proveedor afectado, éste la ha parcheado y posteriormente se ha hecho pública. Sin embargo, en algunos casos, los choques con otras tecnológicas (a la postre competidoras) se han sucedido. Especialmente por el tiempo que Google ha establecido para la divulgación pública de las vulnerabilidades encontradas que -por defecto- es de 90 días.

Google ha tenido serios conflictos con empresas como Microsoft. En varios casos. El primero sucedió a comienzos de 2015 e ilustra la problemática. Google encontró una vulnerabilidad Zero Day (para la que no se conoce solución) que permitiría eventualmente una elevación de privilegios y el control de equipos con Windows 8.1. Google informó internamente a Microsoft de esta vulnerabilidad y bajo las políticas de divulgación de Project Zero le comunicó que la haría pública en 90 díasMicrosoft no la parcheó y Google la divulgó en el plazo indicado detallando su posible explotación.

La respuesta de Microsoft no se hizo esperar y criticó que un competidor publicase una vulnerabilidad sin que el proveedor de software la hubiera parcheado, estimando una «presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio”. Microsoft señaló directamente que la política de Google iba en contra de la seguridad de los clientes, porque permitía que fueran atacados antes de haber creado una solución.

Caso Fortnite para Android

Otro caso más reciente relacionado ha sido el del juego Fortnite para Android. Epic Games fue criticado por no distribuir el juego a través de la tienda oficial Google Play. La decisión se explicó por el 30% de comisión que se lleva la tienda de Google (como la de Apple o la de Microsoft) por cada venta, lo que para la desarrolladora suponía un “problema de eficiencia” en términos económicos.

La exclusión del juego de la tienda oficial llevó a Google a mostrar advertencias a cualquier usuario que realizara búsquedas sobre el juego, indicando los riesgos de seguridad que conlleva la descarga e instalación de un juego como este fuera de la tienda oficial, aunque se tratase de una distribución desde el portal web oficial de Epic Games y la necesaria habilitación en el terminal de instalación de aplicaciones de fuentes desconocidas.

Y lo anunciado sucedió, aunque fue peor de lo esperable porque el fallo llegó de la misma desarrolladora. Una semana después del lanzamiento, un ingeniero de Google reveló que la primera versión del instalador de Epic tenía un grave fallo de seguridad que ponía en riesgo a los usuarios de Android

Epic parcheó rápidamente el instalador y fue entonces cuando Google publicó el fallo sin esperar a los 90 días por defecto, explicando que el tiempo de divulgación más corto es «solo una política normal cuando se soluciona rápidamente una situación».

El CEO de Epic Games, Tim Sweeney, lo calificó como una “decisión irresponsable que ponía en peligro a los usuarios”. y fue más lejos, al asegurar que era una especie de «venganza» como consecuencia de su decisión de no lanzar el juego en la tienda oficial.

Las preguntas para el debate son claras y te invitamos a participar sobre ellas o sobre lo que quieras comentar de este tema:

  • ¿Cuándo se debe divulgar una vulnerabilidad?
  • ¿Debe hacerse caiga quien caiga y en cualquier circunstancia transcurrido el plazo?
  • ¿Son razonables los 90 días establecidos por el Project Zero?
  • ¿Debe retenerse la divulgación pública hasta que la vulnerabilidad haya sido parcheada?
  • ¿Y si como ha sucedido en muchas ocasiones la vulnerabilidad nunca se parchea?
  • ¿Aprovecha Google el proyecto para presionar a los competidores o beneficiarse comercialmente?
  • ¿O es la disculpa para no trabajar como se debería en el parcheo de software en tiempo razonable?

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

24 comentarios
  • Álvaro Lázaro Laín

    Yo creo que lo mejor es informar en privado a la empresa cuyo producto tenga la vulnerabilidad y sólo cuando esté solucionado divulgarlo a la opinión pública. Si los hackers conocen la vulnerabilidad la aprovechan. Por el bien del usuario, creo que debería ser como he comentado.
    Saludos.

  • MArcus Miller

    Estoy contigo, creo que hay que hacer un pacto y dar un plazo de tiempo para que la empresa lo pueda solucionar antes de hacerlo publico

  • Bakayaro

    El tiempo debería estar relacionado con la peligrosidad: lo más trivial no importa que se publique pronto, pero si es algo de gran alcance que puede traer muchos perjuicios, debería hacerse no antes de esos 90 días. Con el caso de 2015 las 2 partes actuaron mal: Microsoft por rascarse las bolas y no comprometerse a encontrar una solución en un plazo determinado, y Google por presionar y dejar en mal lugar a Microsoft sabiendo que los usuarios se iban a quedar con los calzones bajados ante posibles ataques

  • Nillo

    Yo ya lo dije desde que salió este programa de Google, el Project Zero: simplemente sacar los trapos sucios de la competencia y hacer chantaje a costa de la seguridad de los usuarios de esos productos. Es una buena forma de desprestigiar a la competencia.

  • Héctor Quispe

    1era postura:
    ¿Cuándo se debe divulgar una vulnerabilidad?

    Cuándo se detecta. Los ingenieros de Google trabajan por un sueldo para detectar las vulnerabilidades. Los hackers lo hacen por ego o aprendizaje y los criminales lo hacen para robar dinero o información.

    Lo mas probable es que si Google detecto una vulnerabilidad, esta ya sea conocida por los criminales y por ende la estén usando.

    Si no la liberan, la gente estaría usando un sistema inseguro sin saberlo.
    ¿Cuándo debería divulgar una vulnerabilidad de los coches marca XXX que ocasiona que los frenos no funcionen al superar los 100 km? Inmediatamente.

    Se detendrán trabajos, se perderán millones, pero así se educa y se crea conciencia de que la tecnología NO es magia. Así los NO informáticos o interesados toman conciencia de lo que deben proteger y verificar. Así NO solo estaría Google buscándolas, si no todas las empresas.

  • tomy

    Entiendo tu punto de vista, pero partes de la base de que cuando se descubre una vulnerabilidad ya está siendo aprovechada por los hackers. También puede darse el caso de que no (o no por un gran número) y que hacerla pública sin dar tiempo a la empresa de solucionarlo (sea Google o la que sea) también puede poner en peligro a los usuarios.

    Tema delicado en todo caso, interesantes comentarios en este hilo.

  • Jorge Leopoldo Capechi

    Y si la empresa decide no solucionar el problema? Y si los hackers ya tenían el conocimiento de dicha vulnerabilidad desde antes que el Proyecto la detectara?

  • Gregorio Ros

    Los 90 días me parecen mas que suficientes para que empresas con tamaños recursos pongan solución. Si no hay solución, entonces el sistema no vale y punto, cuanto antes lo sepan los usuarios mejor. Si ningun sistema es inmune al fallo, por lo menos, si somos conscientes de ello estaremos preparados/prevenidos para el posible fallo, si no sería nuestra responsabilidad. En el último caso de que se comunica al publico sin dar tiempo a una posible solución, me planteo si fue tras intentar comunicarlo y que no le hicieran ni caso, que algunos servicios parece que estan tan por encima….

  • Álvaro Lázaro Laín

    Si la empresa no soluciona el problema en un tiempo razonable, pues en ese caso, que pague las consecuencias de sus decisiones.

  • Gregorio Ros

    90 días dan para mucho y mas para semejante equipo de programadores (Se supone que son el no va mas a nivel mundial), si Google no publica pasado el plazo se hace complice de la dejadez del otro equipo y responsable si alguien usa el fallo. A mi en este caso no me da ninguna lastima.

  • Sam Burgos

    ¿Cuándo se debe divulgar una vulnerabilidad? Por supuesto, cualquier empresa sea cual sea debe divulgar alguna vulnerabilidad para poderla solventar lo mas pronto posible. EDIT: no vi el «cuando», este debe divulgarse inmediatamente al desarrollador al descubrir la vulnerabilidad y comenzar a contar el tiempo cuando se confirme de recibida por la otra parte

    ¿Debe hacerse caiga quien caiga y en cualquier circunstancia transcurrido el plazo? Si, porque si la encontraron en privado y la publican, dan opciones de buscar alternativas o de atenerse a las consecuencias; el caso es como dicen mas abajo que un hacker ya la haya encontrado antes que la compañia, en este caso empeora el asunto porque deben buscar la solución con la presión de que alguien ya salió afectado (de nuevo en el peor caso)

    ¿Son razonables los 90 días establecidos por el Project Zero? Depende de la empresa: si es una empresa grande entonces 90 días son mas que justos para ello, caso contrario esos 90 días no dan mucho abasto y sería mejor darles algun tipo de prórroga no muy extensiva y dependiendo del motivo que den para ello

    ¿Debe retenerse la divulgación pública hasta que la vulnerabilidad haya sido parcheada? Pues, si dan 90 días para parchearla, deberían dar al menos unos 15 días máximo (pueden ser menos) para publicarla pero por lo demás no debería retenerse la divulgación de la misma, ahora…

    ¿Y si como ha sucedido en muchas ocasiones la vulnerabilidad nunca se parchea? …Pues las reglas están por algo: 90 días + una mini prórroga para solucionarlo, caso contrario siempre la divulgo y que te caigan las consecuencias de tu negligencia

    ¿Aprovecha Google el proyecto para presionar a los competidores o beneficiarse comercialmente? ¿O es la disculpa para no trabajar como se debería en el parcheo de software en tiempo razonable?
    Pues lo único que le pondría de «malo» es el tiempo que da de plazo, pero por lo demás me parece razonable que haya una empresa interesada en avisar a otros de solventarlo antes de publicarlo y que al menos se salven la mayoría de vidas informáticas posibles (de nuevo, en el peor caso que un hacker la descubriera antes y ya hayan víctimas mortales). Ahora en el caso particular de Fortnite, si bien el juego me parece malo (opiniones personales conste), pero ahí Google hizo mal al no jugar bajo sus propias reglas y darles tiempo a ellos a solventarlo solo por el hecho de que no lo publicó en su tienda, eso si ya iba con odio/dolo/intenciones/(coloque termino aquí) y eso si es aprovecharse de su posición, al menos Fortnite ha dicho como instalarlo y que a pesar de no estar en la tienda, que si se descarga de su sitio entonces está bien (algo así creo que ocurre con la gente de Amazon y su Amazon App Store), cosa que fuera otro programa ya estarían con el grito en el cielo de no saber si es «original» o no

  • -.-

    La vulnerabilidad se debe revelar lo antes posible en caso de que el fabricante no dé respuestas ni señal de vida o muestre indiferencia.
    Si el fabricante muestra disposición y está trabajando en el parche entonces se debe esperar todo el tiempo hasta que el parche esté disponible para los usuarios.

    Si no se hace así «el que caiga» será el usuario.

    El plazo de 90 días es ridículo y arbitrario. No todos los entornos son iguales y pueden parcharse con la misma facilidad o rapidez, sin poner en riesgo la calidad y efectividad del parche.

    Las intenciones de Google de usar ésto como ataque a su competencia son ya claras, desde el momento en que se apresura a publicar las vulnerabilidades e incluso los exploits para dejar a los usuarios expuestos, así estén los fabricantes trabajando en el parche o incluso lo hayan hecho a tiempo.

    PD: Que yo sepa el descubrimiento de Spectre y Meltdown no fue mérito de Google.

  • -.-

    Y si los hackers ya tenían el conocimiento de dicha vulnerabilidad desde antes que el Proyecto la detectara?

    Revelárselos a todos los hackers del mundo no mejora la situación ni hace que les llegue el parche a la gente.

    Y no me vengan con el cuento de hadas de que «así al menos la gente sabrá qué medidas tomar». La gente no está pegada a twitter buscando Zero Days y mucho menos buscando y aplicando medidas de mitigación; en cambio los hackers sí están buscando y sacando provecho de cualquier brecha nueva que se publique y hasta aplicándole ingeniería inversa a los parches oficiales liberados.

  • -.-

    Lo mas probable es que si Google detecto una vulnerabilidad, esta ya sea conocida por los criminales y por ende la estén usando.

    ¿Lo más probable? ¿Y si lo más probable es que no lo supieran aún?.

    Si no la liberan, la gente estaría usando un sistema inseguro sin saberlo.

    Y si lo liberan también, porque «la gente» no se entera de esas cosas, en cambio los atacantes sí se mantienen actualizados.

    Esa revelaciones no ayudan a la gente, pero sí a los atacantes.

    ¿Cuándo debería divulgar una vulnerabilidad de los coches marca XXX que ocasiona que los frenos no funcionen al superar los 100 km? Inmediatamente.

    Esa comparación es una falacia.
    Esos frenos son inseguros por su propia naturaleza y tienes tú que hacerles fallar (subiendo a 100Km/h), a diferencia del software que son inseguros porque alguien les tiene que hacer fallar.

    Las fallas en frenos tampoco son remotas. Si tus frenos tiene una vulnerabilidad nadie en Turquía te va hacer chocar. De nuevo, sólo depende de ti que no subas a 100Km/h.

  • Álvaro Lázaro Laín

    Moral nula, típico de la sociedad Estadounidense. Reirse del adversario, humillarle insultarle. Para esto hay una solución, la multa, que hacen principalmente en Europa y poco en EE.UU.

  • pillabichos

    Más transparencia y menos paternalismo digital.

  • Víctor Martín

    La política de 90 días de margen para que el desarrollador publique un parche me parece razonable, así obligan a que tengan que invertir más en seguridad.
    En caso de que la empresa encuentre una solución antes de los 90 dias, pues cuando la solución sea pública y este el parche, dejar que se yo… 7 días, para darle tiempo a los usuarios a que actualicen, y después publicarla, me parece una buena medida.

  • Víctor Martín

    No opino lo mismo, Google ofrece dinero para que hagan LO MISMO con ella, y no lo ven como una forma de que se les desprestigie a ellos, si no como un mecanismo extra de seguridad.
    Sería buenísimo que Microsoft y Apple (por nombrar a las más grandes) hicieran lo mismo que google en este aspecto y buscar fallos en la competencia, sería así mucho más seguro, muchas veces es mejor que revisen tus cosas desde fuera, ya que pueden ver fallos que desde dentro no los ves, la típica frase de «si llega a ser un perro te muerde» también vale para aqui

  • Víctor Martín

    Creo que es lo que hace Google, ellos han considerado 90 días un tiempo razonable, si la empresa no ha hecho ningun parche es que no ha trabajado lo suficiente en ese tiempo razonable.
    Después esta lo que cada uno considere tiempo razonable, para Google les parecio 3 meses… Para ti puede parecerte más o menos, eso es subjetivo.

  • Víctor Martín

    Eso es lo que hacen, Google le dice al desarrollador cuál es el fallo, y le da un plazo de 90 días para que el desarrollador ponga solución, después de ese plazo publica el fallo…

  • Leonmafioso

    Eh, Microsoft hace lo mismo, paga por las vulnerabilidades encontradas.

  • Víctor Martín

    No, no me refería a eso, especifiqué justo debajo, que sería buenísimo que Microsoft y Apple hicieran lo mismo buscando fallos en la competencia, no me refería a que pagara por qué le reportaran los fallos suyos, eso lo hacen multitud de empresas, lo que digo es que Google busca fallos en los principales códigos de la competencia para que estos los arreglen, estaría bien que Microsoft hiciera lo mismo buscando fallos en Chrome, Gmail, etc y le reportaran los fallos a Google, o lo mismo con Apple, y que se reportaran fallos entre ellos

  • Leticia Canales

    Igual creo que Google no tiene el derecho de darle el tiempo de desarrollo de parches a las otras empresas. Si lo va a divulgar, podría ser a rasgos generales pero no dar detalles.

  • Pienso que para entender el meollo del problema, como decimos por mi tierra, primero hay que ponerlo en contexto.

    En general, las vulnerabilidades no preocupan al usuario, porque en la mayoría de los casos solo estan interesados en encender la computadora, hacer lo que sea que vayan a hacer y continuar con sus vidas, además no hay gran cosa que pueda hacer mas que esperar que los responsables por corregir el problema, bien sea desarrolladores de los programas o los administradores de sistemas en el caso de las redes corporativas, hagan lo que se supone que deban hacer para corregirlo.

    Entonces, ¿a quien le preocupa este tipo de problemas? Pues precisamente a las personas que se supone deben hacer algo para corregirlo. Desde esta perspectiva,

    ¿Cuándo se debe divulgar una vulnerabilidad?

    Lo antes posible, esto permitira que los responsables por la seguridad informatica puedan tomar medidas que mantengan a salvo los sistemas bajo su responsabilidad.

    ¿Debe hacerse caiga quien caiga y en cualquier circunstancia transcurrido el plazo?

    Si

    ¿Son razonables los 90 días establecidos por el Project Zero?

    Tres meses parece un plazo razonable. Nada garantiza que la vulnerabilidad no este siendo explotada ya, y los responsables por la seguridad informatica tengan entre sus manos un problema del cual aun no sepan deben tomar medidas.

    ¿Debe retenerse la divulgación pública hasta que la vulnerabilidad haya sido parcheada?

    No, mientras más tiempo transcurre más peligro corren los sistemas informaticos.

    ¿Y si como ha sucedido en muchas ocasiones la vulnerabilidad nunca se parchea?

    En este caso, al menos los responsables por la seguridad informatica tienen conocimiento del problema y pueden tomar medidas que mitiguen el riesgo que esta supone.

    ¿Aprovecha Google el proyecto para presionar a los competidores o beneficiarse comercialmente?

    Probablemente

    ¿O es la disculpa para no trabajar como se debería en el parcheo de software en tiempo razonable?

    Definitivamente

Top 5 Cupones

Lo más leído