Ya es conocido por todos que en cuanto a transparencia, Google es una de las compañías más transparentes que hay a la hora de comunicar a los usuarios como por ejemplo mostrar toda la información referente a las peticiones de censura por parte de los gobiernos a la hora de eliminar algunos enlaces del buscador, mapas o imágenes o de advertir a los usuarios cuando hay una orden judicial para revisar sus cuentas de correo.

Los responsables de seguridad en Google son conocidos por el trabajo de desarrollo e investigación que realizan a la hora de descubrir errores o vulnerabilidades no solo en productos propios sino también en productos de otras compañías o desarrolladores. El procedimiento actual estándar sobre como actuar en caso de encontrar una vulnerabilidad es ofrecer un plazo de sesenta días a la empresa antes de que el mismo se haga público. Durante los sesenta días, Google se comprometía a guardar en secreto este error hasta que fuese solventado.

Ahora bien, si se trata un error crítico que puede ser explotado, teniendo en cuenta el peligro que corre tanto la empresa como los usuarios de dicha página o empresa, la cosa cambia y toma un cáliz más serio en el que sesenta días puede ser un plazo excesivamente largo para solventar el problema. Es por esto que Google quiere que el plazo ofrecido a las compañías para solventar ese problema sea de una semana y no dos meses como ocurría hasta ahora y así lo ha hecho saber en su Blog oficial de Seguridad. “Cada día que una vulnerabilidad permanece y no existe ni información pública ni parches para solventarla más ordenadores se verán comprometidos“.

Este cambio en la política de difusión de vulnerabilidades tuvo origen después de que el ingeniero de Google, Tavis Ormandy descubriera una vulnerabilidad hace dos semanas llamada “día cero” en Windows 7 y 8. Ormandy anunció la vulnerabilidad a los 5 días de haber informado a Microsoft de este error el anuncio tan sólo cinco días después de informar a Microsoft del error.

Con esta política ¿Google está actuando correctamente? Google argumenta que cuanto más rápida es la divulgación de una vulnerabilidad, menos tiempo existirá para poderlo explotar y antes se solventará; así como, si no es suficiente tiempo para la compañía el poderlo solventar, al menos es el plazo razonable para que los usuarios sean conscientes del mismo para la búsqueda de soluciones que puedan mitigar el problema siendo conscientes del mismo y evitar una espera de actualización por parte de la compañía responsable.

Por otra parte, detractores de esta forma de actuar argumentan que al hacer pública esta vulnerabilidad, aquellas personas que no la conocían podrán aprovecharse de la misma pudiendo explotarla y empeorando la situación.

Para aquellas vulnerabilidades que no se consideren críticas, Google sigue recomendando los actuales 60 días de plazo para que la empresa o compañía responsable pueda solventarla antes de hacerlo público.

¿Cual es vuestra opinión al respecto? ¿Google actúa correctamente o es preferible mantenerlo en secreto hasta que se solvente la vulnerabilidad?

Fuente: The Verge