Google anuncia nuevas iniciativas de ciberseguridad

El sector de la ciberseguridad ha mejorado en muchos aspectos, tanto en lo relacionado a los avances tecnológicos como a la colaboración. No obstante, como señala Charley Snyder, Head of Security Policy, en Google, aún tiene por delante numerosos retos, especialmente en el ámbito de la gestión de vulnerabilidades. La cuestión de las vulnerabilidades de seguridad parece atrapada en un círculo: se detecta una vulnerabilidad, se corrige con un parche, poco después aflora otra, y así una y otra vez.

En los últimos años, Project Zero, un equipo independiente de Google que estudia vulnerabilidades de día cero en los sistemas de hardware y software, ha puesto en marcha nuevos estudios e iniciativas para implementar mejoras en la lucha contra dichas vulnerabilidades.

Los trabajos que no encuentran personal en España: del campo a la ciberseguridad

Brechas en el ecosistema

Con frecuencia, los riesgos de las vulnerabilidades de día cero persisten incluso después de que se conozcan y se corrijan. Por ejemplo, existen riesgos asociados a los plazos de adopción de los parches por parte de los OEM, problemas durante las pruebas de los parches, dificultades para que los usuarios realicen actualizaciones etc. Y no solo eso: de todas las vulnerabilidades de día cero que han sido explotadas de alguna manera y que se detectaron a lo largo de 2022, más de una tercera parte fueron variantes de otras que ya se habían parcheado con anterioridad, lo que equivale a decir que la vulnerabilidad original no se había corregido por completo.

En este escenario Google ha publicado un libro blanco en el que propone varias iniciativas para hacer frente a estos riesgos: una mayor transparencia sobre la explotación de vulnerabilidades y la adopción de parches por parte de proveedores y organismos públicos, para que la comunidad pueda diagnosticar mejor si los enfoques actuales funcionan. Una mayor atención a los puntos de fricción en todo el ciclo de vida de las vulnerabilidades, para garantizar que los riesgos para los usuarios se abordan de forma exhaustiva. Buscar la causa raíz de las vulnerabilidades y promover prácticas modernas para el desarrollo de un software seguro, con capacidad para cortar en origen vías completas de ataque.

Finalmente se apunta la protección para los investigadores en seguridad que actúan de buena fe. Estos investigadores trabajan en la detección antes de que un atacante pueda explotarlas, y sus aportaciones a la seguridad, son importantes. Por desgracia, se enfrentan a amenazas legales cuando esas aportaciones no son bien recibidas o se malinterpretan, lo cual supone un freno a una investigación muy beneficiosa y a la divulgación de vulnerabilidades.

Cómo corregir el ecosistema

Según Google, para avanzar en seguridad hace falta cooperación entre todas las partes interesadas: la industria, que desarrolla plataformas y servicios susceptibles de ser atacados; los investigadores, que no solo detectan vulnerabilidades, sino que apuntan medidas correctivas que pueden cerrar vías completas de ataque; los usuarios, que (lamentablemente) se ven obligados a hacer más de lo que deberían en materia de seguridad; y los gobiernos, que pueden crear estructuras de incentivos e influir en el comportamiento de todos los demás actores. En esta coyuntura anuncia:

Hacking Policy Council

Fondo para la Defensa Jurídica de la Investigación sobre Seguridad

Transparencia sobre las actividades de explotación