El equipo de ciberseguridad Project Zero de Google, que se ocupa de investigar e informar sobre vulnerabilidades ´día cero´ en aplicaciones y servicios virtuales, decidió ampliar 30 días más el plazo que da a las empresas antes de publicar un fallo de seguridad, que podrá llegar a 120 días.
Hasta ahora, Project Zero daba a los desarrolladores de aplicaciones y sistemas vulnerables 90 días, para dar a las empresas tiempo de margen suficiente como para parchear un problema de seguridad antes de darlo a conocer de forma pública.
Ahora, Google anunció una nueva política para sus investigadores de Project Zero, en la que recoge que, en los casos en que las empresas distribuyan un parche de seguridad durante el plazo de 90 días, esperará 30 días después de la actualización para publicar detalles técnicos.
De esta manera, Google busca que haya tiempo suficiente de que los usuarios instalen la actualización y mitiguen el problema de seguridad antes de dar a conocer el error, aunque seguirá publicando las vulnerabilidades si, después de 90 días, siguen sin solucionarse.
En los casos en los que las vulnerabilidades estén siendo explotadas por cibercriminales y los usuarios estén siendo afectados, el periodo de margen que daba Project Zero permanece en siete días antes de publicar el error.
Asimismo, Project Zero contempla un periodo de gracia para las empresas que así lo soliciten, de 14 días en el caso de que la vulnerabilidad no se haya explotado y de tres días en caso de que sí la hayan aprovechado los cibercriminales. Estos días de margen se descuentan de los 30 días adicionales.
Google avanzó que planea que su política de Project Zero para 2022 pase a ser de 84 días antes de desvelar una vulnerabilidad y de 28 días adicionales en caso de parche, de manera que se reduce la probabilidad de que la fecha de fin de plazo caiga en fin de semana.
Fuente: DPA