TECNOLOGÍA
Google anuncia nuevas iniciativas de ciberseguridad
El buscador ha publicado un libro blanco en el que propone varias propuestas para hacer frente a las amenazas actuales
Pilar Enériz
El sector de la ciberseguridad ha mejorado en muchos aspectos, tanto en lo relacionado a los avances tecnológicos como a la colaboración. No obstante, como señala Charley Snyder, Head of Security Policy, en Google, aún tiene por delante numerosos retos, especialmente en el ámbito de la gestión de vulnerabilidades. La cuestión de las vulnerabilidades de seguridad parece atrapada en un círculo: se detecta una vulnerabilidad, se corrige con un parche, poco después aflora otra, y así una y otra vez.
En los últimos años, Project Zero, un equipo independiente de Google que estudia vulnerabilidades de día cero en los sistemas de hardware y software, ha puesto en marcha nuevos estudios e iniciativas para implementar mejoras en la lucha contra dichas vulnerabilidades.
Brechas en el ecosistema
Con frecuencia, los riesgos de las vulnerabilidades de día cero persisten incluso después de que se conozcan y se corrijan. Por ejemplo, existen riesgos asociados a los plazos de adopción de los parches por parte de los OEM, problemas durante las pruebas de los parches, dificultades para que los usuarios realicen actualizaciones etc. Y no solo eso: de todas las vulnerabilidades de día cero que han sido explotadas de alguna manera y que se detectaron a lo largo de 2022, más de una tercera parte fueron variantes de otras que ya se habían parcheado con anterioridad, lo que equivale a decir que la vulnerabilidad original no se había corregido por completo.
En este escenario Google ha publicado un libro blanco en el que propone varias iniciativas para hacer frente a estos riesgos: una mayor transparencia sobre la explotación de vulnerabilidades y la adopción de parches por parte de proveedores y organismos públicos, para que la comunidad pueda diagnosticar mejor si los enfoques actuales funcionan. Una mayor atención a los puntos de fricción en todo el ciclo de vida de las vulnerabilidades, para garantizar que los riesgos para los usuarios se abordan de forma exhaustiva. Buscar la causa raíz de las vulnerabilidades y promover prácticas modernas para el desarrollo de un software seguro, con capacidad para cortar en origen vías completas de ataque.
Finalmente se apunta la protección para los investigadores en seguridad que actúan de buena fe. Estos investigadores trabajan en la detección antes de que un atacante pueda explotarlas, y sus aportaciones a la seguridad, son importantes. Por desgracia, se enfrentan a amenazas legales cuando esas aportaciones no son bien recibidas o se malinterpretan, lo cual supone un freno a una investigación muy beneficiosa y a la divulgación de vulnerabilidades.
Cómo corregir el ecosistema
Según Google, para avanzar en seguridad hace falta cooperación entre todas las partes interesadas: la industria, que desarrolla plataformas y servicios susceptibles de ser atacados; los investigadores, que no solo detectan vulnerabilidades, sino que apuntan medidas correctivas que pueden cerrar vías completas de ataque; los usuarios, que (lamentablemente) se ven obligados a hacer más de lo que deberían en materia de seguridad; y los gobiernos, que pueden crear estructuras de incentivos e influir en el comportamiento de todos los demás actores. En esta coyuntura anuncia:
Hacking Policy Council
mejores prácticas sobre revelación y gestión de vulnerabilidadesFondo para la Defensa Jurídica de la Investigación sobre Seguridad
ayudar a financiar la representación legalTransparencia sobre las actividades de explotación
transparencia se convierte así en un elemento explícito- El CGPJ autorizó en enero al juez que investiga a Begoña Gómez ejercer hasta los 72 años tras llegar su jubilación
- El correo de la cúpula de Hacienda a Montoro 8 meses antes del arresto de Rato: "Es posible que la situación derive en una entrada y registro
- No, Google Maps no está roto: el mapa no abre al hacer 'click' por una nueva ley europea
- La Fiscalía se salta al juez y pide a la Audiencia de Madrid que archive la investigación sobre Begoña Gómez
- A Sergio lo mató de un puñetazo un ultra del Burgos CF por ser de Valladolid
- ¿De qué se acusa a la mujer de Sánchez?
- Qué fue de… Eva Nasarre, la presentadora de sonrisa eterna que enseñó a hacer gimnasia a los españoles
- Última hora del juicio a Daniel Sancho, en directo: los inesperados motivos que han cambiado el ritmo de las declaraciones y por los que el acusado no testificará hasta el martes