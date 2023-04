El sector de la ciberseguridad ha mejorado en muchos aspectos, tanto en lo relacionado a los avances tecnológicos como a la colaboración. No obstante, como señala Charley Snyder, Head of Security Policy, en Google, aún tiene por delante numerosos retos, especialmente en el ámbito de la gestión de vulnerabilidades. La cuestión de las vulnerabilidades de seguridad parece atrapada en un círculo: se detecta una vulnerabilidad, se corrige con un parche, poco después aflora otra, y así una y otra vez.

En los últimos años, Project Zero, un equipo independiente de Google que estudia vulnerabilidades de día cero en los sistemas de hardware y software, ha puesto en marcha nuevos estudios e iniciativas para implementar mejoras en la lucha contra dichas vulnerabilidades.

Brechas en el ecosistema

Con frecuencia, los riesgos de las vulnerabilidades de día cero persisten incluso después de que se conozcan y se corrijan. Por ejemplo, existen riesgos asociados a los plazos de adopción de los parches por parte de los OEM, problemas durante las pruebas de los parches, dificultades para que los usuarios realicen actualizaciones etc. Y no solo eso: de todas las vulnerabilidades de día cero que han sido explotadas de alguna manera y que se detectaron a lo largo de 2022, más de una tercera parte fueron variantes de otras que ya se habían parcheado con anterioridad, lo que equivale a decir que la vulnerabilidad original no se había corregido por completo.

En este escenario Google ha publicado un libro blanco en el que propone varias iniciativas para hacer frente a estos riesgos: una mayor transparencia sobre la explotación de vulnerabilidades y la adopción de parches por parte de proveedores y organismos públicos, para que la comunidad pueda diagnosticar mejor si los enfoques actuales funcionan. Una mayor atención a los puntos de fricción en todo el ciclo de vida de las vulnerabilidades, para garantizar que los riesgos para los usuarios se abordan de forma exhaustiva. Buscar la causa raíz de las vulnerabilidades y promover prácticas modernas para el desarrollo de un software seguro, con capacidad para cortar en origen vías completas de ataque.

Finalmente se apunta la protección para los investigadores en seguridad que actúan de buena fe. Estos investigadores trabajan en la detección antes de que un atacante pueda explotarlas, y sus aportaciones a la seguridad, son importantes. Por desgracia, se enfrentan a amenazas legales cuando esas aportaciones no son bien recibidas o se malinterpretan, lo cual supone un freno a una investigación muy beneficiosa y a la divulgación de vulnerabilidades.

Cómo corregir el ecosistema

Según Google, para avanzar en seguridad hace falta cooperación entre todas las partes interesadas: la industria, que desarrolla plataformas y servicios susceptibles de ser atacados; los investigadores, que no solo detectan vulnerabilidades, sino que apuntan medidas correctivas que pueden cerrar vías completas de ataque; los usuarios, que (lamentablemente) se ven obligados a hacer más de lo que deberían en materia de seguridad; y los gobiernos, que pueden crear estructuras de incentivos e influir en el comportamiento de todos los demás actores. En esta coyuntura anuncia:

Hacking Policy Council

Por primera vez, se están haciendo leyes (unas ya aprobadas y otras en fase de propuesta) que exigen revelar las vulnerabilidades de forma privada a los gobiernos en determinadas circunstancias. Google es miembro fundador del Hacking Policy Council, un grupo formado por organizaciones y líderes con ideas afines, con un objetivo concreto: que toda la nueva reglamentación se base en las mejores prácticas sobre revelación y gestión de vulnerabilidades y que no suponga una merma de seguridad para los usuarios.

Fondo para la Defensa Jurídica de la Investigación sobre Seguridad

En muchos casos, los que detectan y comunican vulnerabilidades son individuos que trabajan de forma independiente y actúan de buena fe. Su labor da a los titulares de esos productos la oportunidad de corregir las vulnerabilidades antes de que un atacante pueda explotarlas en su beneficio. Sin embargo, no es raro que estas personas se enfrenten a amenazas legales, lo cual desincentiva la investigación sobre seguridad y la divulgación de vulnerabilidades, sobre todo en el caso de personas sin acceso a un buen asesoramiento legal. El Fondo para la Defensa Jurídica de la Investigación sobre Seguridad tiene como objetivo ayudar a financiar la representación legal de personas que realicen investigaciones de buena fe, en casos que aporten avances en ciberseguridad de interés público.

Transparencia sobre las actividades de explotación

Una mayor transparencia en torno a la explotación de las vulnerabilidades ayuda a los usuarios a tomar medidas para protegerse, permite conocer cómo actúan los atacantes y puede resultar en una mayor protección general. Según Google esta transparencia debería formar parte de las políticas estándar del sector sobre divulgación de vulnerabilidades. La transparencia se convierte así en un elemento explícito y se asume compromiso de divulgar públicamente cualquier situación en la que se ha explotado alguna vulnerabilidad de cualquiera de los productos de la compañía.