Google, como compañía preocupada por la seguridad informática y por hacer de Internet un lugar mucho más seguro, cuenta con un grupo de investigadores de seguridad, llamado Google Project Zero, cuyo trabajo es analizar el software más utilizado, detectar posibles vulnerabilidades y reportarlas para que los desarrolladores de dichas aplicaciones las solucionen, eso sí, antes de 90 días.

No es la primera vez que el grupo de Google Project Zero es duramente criticado por las empresas, especialmente por Microsoft. Como ya hemos dicho otras veces, cuando este grupo de investigadores de seguridad descubre una vulnerabilidad, automáticamente da comienzo una cuenta atrás de 90 días. Pasado ese tiempo, tanto si el fallo ha sido solucionado como si no, la compañía hace público el fallo, poniendo en evidencia a la desarrolladora y en peligro a los usuarios.

El pasado 16 de noviembre de 2016, uno de los investigadores de Google Project Zero descubrió una vulnerabilidad en la librería gráfica de Windows gdi32.dll. Este fallo de seguridad puede permitir a un atacante recopilar información desde cualquier cliente GDI en Windows, por ejemplo, Internet Explorer.

Por suerte para Microsoft, este fallo de seguridad, aunque grave, es complicado de explotar y, además, se requiere de acceso físico a la máquina para poder hacerlo.

Microsoft no lanzará nuevos parches de seguridad, por lo menos, hasta el 14 de marzo de 2017

Normalmente, todos los segundos martes de cada mes, Microsoft libera una serie de parches de seguridad con los que solucionar todos los problemas de Windows y el resto de programas de la compañía detectados en el último mes. Sin embargo, este mes ha sido diferente.

Tal como nos contaron en SoftZone la semana pasada, debido a un error de última hora, en febrero Microsoft no liberará nuevos parches de seguridad para sus productos, posponiéndolos hasta marzo de 2017, algo grave teniendo en cuenta que actualmente hay ya varias vulnerabilidades críticas conocidas en Windows.

Desde la publicación de los parches de enero de 2017 hemos podido ver cómo Windows se ha visto afectado por varios fallos, por ejemplo, el fallo en el protocolo SMB, además de que este mes no se ha publicado la correspondiente actualización para Adobe Flash Player, el complemento web que, mes a mes, soluciona no menos de 10 fallos de seguridad que ponen en peligro a los usuarios.

Google, una vez más, poniendo a peligro a los usuarios

Que Google tenga un departamento especializado en seguridad informática para terceros está muy bien ya que, gracias a él, se han descubierto vulnerabilidades muy importantes en software ampliamente utilizado. Sin embargo, esta no es la primera vez, ni será la última, en la que, debido a los 90 días de margen, la compañía hace públicas vulnerabilidades que, en teoría, deberían ser permanecer en secreto, ocultas hasta que las compañías las hubieran solucionado.

Presionar a las desarrolladoras de software puede estar bien, pero, sinceramente, existen otras formas de hacerlo que no poniendo en peligro a millones de usuarios en todo el mundo solo para sacar pecho en el sector de la seguridad informática.

¿Crees que Google actúa bien publicando estas vulnerabilidades a los 90 días o debería ser más flexible cuando juega con la seguridad de millones de usuarios?