Project Zero, el equipo de investigación en ciberseguridad de Google, publicó recientemente un informe en el que se analizó, a lo largo de tres años, la capacidad de respuesta de los proveedores de software ante la notificación de vulnerabilidades de seguridad.
Linux, frente a otros proyectos y empresas como Apple, Microsoft, Oracle, Samsung, Mozilla y la misma Google, tiene el mejor rendimiento frente a los reportes recibidos, según el análisis que comprende el trabajo de Project Zero entre enero de 2019 y diciembre de 2021.
Linux corrige más rápido sus vulnerabilidades de día cero
El citado equipo de empleados de Google se especializa en las también denominadas Zero Day, aquellas vulnerabilidades de seguridad no cuentan con parches de seguridad, pues no habían sido descubiertas antes. En aquello radica la importancia de una oportuna respuesta de los responsables de la seguridad de un software, ya que no se trata de un problema que se resuma en simples ajustes.
Cuando Project Zero encuentra un error, le notifica a los desarrolladores o responsables del software y les concede un plazo de 90 días para corregir un fallo antes de hacerlo público, con el fin de no amplificar los peligros. Si la situación se pone cuesta arriba, ante problemas realmente complejos, pueden otorgar 14 días adicionales de gracia, si se asegura que antes de cumplirse 104 días habrá asegurado un parche con la corrección definitiva.
De un total de 376 problemas detectados en plataformas de diferentes empresas, el informe da a conocer que gran parte de los principales proveedores de software consiguen responder adecuadamente antes de cumplirse el primer plazo de 90 días.
Del total de errores notificados, 351 de aquellos, el 93,4% del total, recibieron su parche. 14 puntuales errores, un 3,7% del total, fueron reportados como. WontFix, «No reparables» y otros 11, un 2,9%, continuaban sin corregirse al momento de publicarse las cifras.
Además, la mayoría de los reportes se concentran en tres grandes empresas. Apple concentra la mayoría de las fallas reportadas, con 85 errores; seguida por Microsoft con una cifra similar, acumulando 80 errores; seguidos por Google, con 56.
Por su parte, en Linux son los más rápidos del estudio para corregir fallos de seguridad, tardando una media de 25 días en corregir los errores reportados. Apple demoró una media de 69 días para atacar estos problemas, seguidos de Microsoft con una media de 83, Google con 44, Samsung con 72, Adobe con 65, Mozilla con 46 y Oracle con 109.
Desde Project Zero señalaron, en la presentación de este informe, que continuarán repitiendo este ejercicio, como una práctica de transparencia y para incentivar a los desarrolladores de software a mantener espacios digitales seguros para sus usuarios.