Asegurando que la industria de la seguridad ha mejorado de muchas maneras, tanto en avances tecnológicos como en colaboración, pero que aún quedan muchos desafíos, especialmente en el ámbito de la gestión de vulnerabilidades, Google ha publicado un documento titulado ‘Escaping the Doom Loop’ en el que comparte nuevas investigaciones e iniciativas que mejoren la situación
Dice el documento que las vulnerabilidades de Día Cero suelen aparecer en los titulares, pero que el verdadero problema es que los riesgos permanecen tiempo después de que se conozcan y se solucionen. Según datos de la compañía, más de un tercio de las vulnerabilidades de día cero explotadas analizadas en 2022 son variantes de vulnerabilidades parcheadas anteriores, “que son el resultado de que los proveedores aplicaron correcciones incompletas a la vulnerabilidad original”. La manera de hacer frente a la situación pasa por:
- Mayor transparencia de los proveedores y los gobiernos en la explotación de vulnerabilidades y la adopción de parches para ayudar a la comunidad a diagnosticar si los enfoques actuales están funcionando.
- Más atención a los puntos de fricción a lo largo del ciclo de vida de la vulnerabilidad para garantizar que los riesgos para los usuarios se aborden de manera integral.
- Abordar la causa raíz de las vulnerabilidades y priorizar las prácticas modernas de desarrollo de software seguro con el objetivo de cerrar vías de ataque.
- Proteger a los investigadores de seguridad de buena fe que hacen contribuciones significativas a la seguridad a través de sus esfuerzos para encontrar vulnerabilidades antes de que los atacantes puedan explotarlas.
Avanzar en estos temas requiere la cooperación entre las partes interesadas, incluidas la industria, los investigadores, usuarios y gobiernos. Desde Google se muestran “comprometidos a impulsar el progreso junto con estas partes interesadas”, para lo que anuncian algunas iniciativas. La primera es ‘Hacking Policy Council’ un grupo que se dedicará a la defensa enfocada a garantizar que las nuevas políticas y regulaciones respalden las mejores prácticas para la gestión y divulgación de vulnerabilidades.
Explica la compañía que, en muchos casos, las personas actúan de forma independiente y de buena fe para encontrar y reportar vulnerabilidades, dando a los proveedores la oportunidad de abordarlas antes de que los atacantes puedan desarrollar vulnerabilidades. “Desafortunadamente, estas personas a menudo enfrentan amenazas legales que pueden causar retrocesos en la investigación de seguridad y la divulgación de vulnerabilidades, especialmente para las personas que no tienen acceso a asesoría legal”. La situación ha llevado a Google a establecer un ‘Fondo de Defensa Legal de Investigación de Seguridad’ que tiene como objetivo ayudar a financiar la representación legal de las personas que realizan investigaciones de buena fe en casos que promoverían la seguridad cibernética para el interés público.
Por último, se propone una mayor transparencia para ayudar a los usuarios a tomar medidas para protegerse, lo que genera una mayor comprensión del comportamiento del atacante y puede conducir a mejores protecciones. “Creemos que esta transparencia debería convertirse en parte de las políticas estándar de divulgación de vulnerabilidades de la industria”, aseguran desde la compañía.
