Project Zero de Google dará a las empresas 30 días más antes de publicar vulnerabilidades

Archivo - Portaltic.-Cae la botnet de Emotet, una de las principales ciberamenazas a nivel global
Archivo - Portaltic.-Cae la botnet de Emotet, una de las principales ciberamenazas a nivel global - UNSPLASH/CC/SHAHADAT RAHMAN - Archivo
Europa Press PortalTIC
Publicado: viernes, 16 abril 2021 12:37
@portaltic

   MADRID, 16 Abr. (Portaltic/EP) -

   El equipo de ciberseguridad Project Zero de Google, que se ocupa de investigar e informar sobre vulnerabilidades 'día cero' en aplicaciones y servicios virtuales, ha decidido ampliar 30 días más el plazo que da a las empresas antes de publicar un fallo de seguridad, que podrá llegar a 120 días.

   Hasta ahora, Project Zero daba a los desarrolladores de aplicaciones y sistemas vulnerables 90 días, para dar a las empresas tiempo de margen suficiente como para parchear un problema de seguridad antes de darlo a conocer de forma pública.

   Ahora, Google ha anunciado una nueva política para sus investigadores de Project Zero, en la que recoge que, en los casos en que las empresas distribuyan un parche de seguridad durante el plazo de 90 días, esperará 30 días después de la actualización para publicar detalles técnicos.

   De esta manera, Google busca que haya tiempo suficiente de que los usuarios instalen la actualización y mitiguen el problema de seguridad antes de dar a conocer el error, aunque seguirá publicando las vulnerabilidades si, después de 90 días, siguen sin solucionarse.

   En los casos en los que las vulnerabilidades estén siendo explotadas por cibercriminales y los usuarios estén siendo afectados, el periodo de margen que daba Project Zero permanece en siete días antes de publicar el error.

   No obstante, en estos casos también se aplica la nueva política, y Google esperará 30 días si los desarrolladores liberan un parche de seguridad durante el periodo de siete días.

   Asimismo, Project Zero contempla un periodo de gracia para las empresas que así lo soliciten, de 14 días en el caso de que la vulnerabilidad no se haya explotado y de tres días en caso de que sí la hayan aprovechado los cibercriminales. Estos días de margen se descuentan de los 30 días adicionales.

   Google ha avanzado que planea que su política de Project Zero para 2022 pase a ser de 84 días antes de desvelar una vulnerabilidad y de 28 días adicionales en caso de parche, de manera que se reduce la probabilidad de que la fecha de fin de plazo caiga en fin de semana.

Leer más acerca de: