SkillUp / Shutterstock

Project Zero es un equipo de Google encargado de encontrar vulnerabilidades e informarlas a los fabricantes. No está exento de controversia debido a que ocasionalmente se publican los detalles de las vulnerabilidades antes de un parche. Con ese fin, Project Zero agregará algo de tiempo a su período de divulgación.

Según las reglas anteriores, los proveedores de software tenían 90 días para lanzar un parche desde que Google reveló una vulnerabilidad al proveedor. Lo hiciera o no, revelaría la vulnerabilidad de día cero al público, a menudo con suficiente detalle como para que un mal actor pudiera usar la información para crear exploits. Finalmente, Google agregó un período de gracia opcional que los proveedores de software podrían solicitar si un parche estaba a punto de completarse.

Los detractores afirman que el plazo estricto pone en riesgo al público si la empresa está trabajando activamente en una solución, pero el problema es lo suficientemente complicado y no se puede resolver en 90 días. Otros señalan que algunas empresas pueden no estar dispuestas a crear un parche en absoluto sin la ventana dura. La presión pública ayuda a convencer al proveedor de software para que actúe donde de otra manera no podría hacerlo.

Encontrar ese término medio es la parte difícil, y Google dice que hará ajustes para abordar las preocupaciones de la comunidad de seguridad en general. En 2021, esperará 30 días adicionales para revelar los detalles de una vulnerabilidad si un proveedor lanza un parche antes de que finalice la ventana de 90. La idea es dar tiempo a los usuarios para que instalen actualizaciones y las protejan. Sin embargo, si un proveedor solicita una ventana de gracia, eso consumirá la ventana de actualización de 30 días.

RELACIONADO:  Cómo ejecutar Windows 11 en una Mac

Eso es para un caso en el que Google no ha descubierto una vulnerabilidad que ya se está abusando activamente. Antes de que eso sucediera, Google reveló todos los detalles dentro de los siete días posteriores a la notificación. En el futuro, revelará la vulnerabilidad después de siete días, pero esperará 30 días más para publicar detalles técnicos.

Todo eso se aplica solo a 2021 porque el próximo año, Google planea acortar ligeramente todas sus ventanas. A partir de 2022, Project Zero pasará a un modelo «84 + 28»: 84 días para la divulgación, más otros 28 días para los detalles completos. Project Zero espera que acortar las ventanas fomente el desarrollo de parches más rápido. También sugiere que pasar a días divisibles por siete reduce la posibilidad de que una fecha límite caiga en un fin de semana, cuando los proveedores de software suelen tener días libres.

Fuente: Proyecto cero