Los 'hackers' de Google sacan los colores a su competencia: ¿guerra sucia o responsabilidad?

El 'Project Zero' de Google tiene la intención de detectar y notificar vulnerabilidades inéditas en el 'software' de otras empresas para que encuentren una solución lo antes posible. De no hacerlo, la información sobre los fallos será publicada en un plazo de tiempo determinado. Hemos pedido a varios expertos en seguridad informática que opinen sobre la estrategia de la tecnológica: ¿actúa de forma responsable o es solo una táctica para poner en evidencia a sus competidores?

22 de abril de 2015 15:00h

En julio del año pasado Google anunció su ‘Project Zero’, una iniciativa con la que ha puesto en marcha una nueva estrategia en materia de seguridad informática: ahora un equipo de investigadores se dedica a encontrar vulnerabilidades en el 'software' de otras empresas y notificar los fallos de forma responsable, lo que se conoce en la jerga del sector como 'responsible disclosure'. Comienza entonces un plazo de 90 días para que la compañía afectada arregle el fallo o publique un parche. Las que demuestren que están en ello pero necesitan algo más de tiempo contarán con un periodo de gracia de otros 14 días.

De no haberse solucionado entonces, el gigante tecnológico irá un paso más allá: publicará los detalles de la vulnerabilidad (lo que se conoce como 'full disclosure'), con la doble intención de que los propios usuarios puedan protegerse y presionar a las empresas para que actúen con rapidez si no quieren quedar en evidencia.

¿El motivo? Si esas vulnerabilidades no se corrigen ni se hacen públicas, un ciberdelincuente que las conozca en secreto podrá seguir explotándolas en su propio beneficio, comprometiendo la seguridad de otros.

La idea del gigante de Mountain View ha suscitado cierta polémica, sobre todo después de publicar vulnerabilidades en sistemas de Microsoft y Apple (algunos de los últimos fallos fueron encontrados en el sistema operativo OS X Yosemite), dos de sus principales competidores.

Google dice actuar con responsabilidad y ha asegurado a HojaDeRouter.com que “la divulgación responsable es una calle de doble sentido” y que las empresas que ofrecen productos a los usuarios tienen que protegerles lo más rápido posible. De la misma forma, ha explicado que los investigadores deben “dar un tiempo a esas empresas para que arreglen el problema antes de hacerlo público”. Si no lo hacen, ya saben a lo que se atienen.

Entonces, ¿es realmente 'Project Zero' una forma responsable de proteger al internauta o también una manera de sacar los colores a la competencia?

No es la primera vez que una empresa pone en marcha un proyecto parecido. La ‘Zero Day Initiative’ (ZDI) de TippingPoint, una firma de seguridad que pasó a manos de HP, lleva años funcionando con un procedimiento muy similar al que utiliza actualmente Google.

Román Ramírez, organizador del congreso de seguridad informática RootedCON, explica que ZDI hace de intermediario entre los expertos en seguridad informática - que buscan vulnerabilidades - y los fabricantes de productos – a quienes tendrá que notificar los fallos encontrados. Al igual que 'Project Zero', concede a las empresas afectadas tres meses para encontrar un parche antes de recurrir al 'full disclosure'.

¿Es necesario publicar los fallos?

Publicar los detalles de la vulnerabilidad no suele ser el objetivo principal de un profesional de la seguridad informática, pero todos con los que hemos hablado aseguran que es importante desarrollar un parche cuanto antes “porque alguien (un cibercriminal) podría descubrirla y utilizarla para lanzar ataques. Es algo que pasa todos los días”, explica Luis Corrons, director técnico de PandaLabs. Además, hablamos de fallos que afectan a tecnologías que emplean millones de internautas a diario, y no solo de sistemas privados. Por eso “es necesario corregirlos”, añade Deepak Daswani, responsable de investigación del Instituto Nacional de Ciberseguridad (Incibe).

Si para ello hay que hacer pública la información, que así sea. Al menos puede ser una forma de “obligar a que las empresas se pongan las pilas”, dice Daswani. El investigador David Sancho, de Trend Micro, añade que hacer pública la información genera presión sobre las empresas, y “aunque no es lo más educado del mundo”, a veces es lo que se necesita para hacer que se pongan en movimiento porque hay algunas que actúan de forma irresponsable dejando pasar el tiempo (meses o años) sin corregir un fallo, y siendo conscientes de que lo tienen.

“Más les vale tener una solución lista, porque si no su imagen se va a ver muy perjudicada”, insiste Corrons, que también cree que esa presión contribuye a mejorar la seguridad. Google, por su parte, asegura que “no es una cuestión de intimidar, sino de dar un mejor servicio al usuario”.

Román Ramírez pone el ejemplo de Oracle, que sigue una política “bastante nefasta” en materia de seguridad. “No corrige ciertas vulnerabilidades desde hace tiempo”, porque cuesta dinero, hay que distribuir parches… Además, según el organizador de Rooted, tiende a criminalizar al experto en seguridad cuando publica la vulnerabilidad.

Entonces, ¿se disipa la posibilidad y Google podría estar actuando de manera interesada? Nico Castellano, organizador del congreso NoConName, opina que es muy aventurado afirmar algo así, pero cree que Google ha tomado el papel de protector porque puede. Puede sacar los colores a otros y exigir: “Su presión es muy grande, es como el primo de Zumosol y le van a hacer caso”.

Una iniciativa como 'Project Zero' puede ser un alivio para muchos 'hackers'. En ocasiones, cuando estos profesionales de la seguridad informática notifican un fallo, la empresa no lo soluciona y ellos deciden publicarlo, se enfrentan después a consecuencias (incluso legales), razón por la que algunos prefieren no arriesgarse. “Si iniciativas como ZDI o ‘Project Zero’ son neutrales y asépticas, pueden protegerlos porque van a gestionar la publicación de una vulnerabilidad”, afirma Ramírez. Sea como sea, a su juicio, “no publicar las vulnerabilidades ya no es una opción, porque el único que gana es el mafioso”.

¿Suficiente tiempo para encontrar un parche?

'Project Zero' otorga un plazo de 90 días (con prórroga en determinados casos) para encontrar remedio a las vulnerabilidades. ¿Es tiempo suficiente? Google entiende que sí, que los mejores equipos son capaces de solucionar los problemas en 15 días o menos. Lo cierto es que todos los expertos consultados por este medio coinciden en que tres meses es un tiempo totalmente razonable para hacerlo, aunque siempre depende del nivel de complejidad de cada fallo.

“El asunto es tener la voluntad de arreglarlo”, opina Ramírez. Incluso si la aplicación vulnerada es muy compleja, el experto que encuentra la vulnerabilidad indica siempre dónde está el problema y especifica qué ha hecho él para explotarlo. Y “siempre puede aplicarse un parche de emergencia que evite que esa vulnerabilidad se pueda ejecutar”, algo que, según el organizador de Rooted, puede hacerse en una semana, en dos o en un mes, pero no es necesario un año. “Algo tendrás que hacer para proteger a tus clientes que tienen derecho a exigir que quien les presta el servicio actúe con urgencia”.

Posible contradicción (o no)

Teniendo en cuenta que Google hará pública la vulnerabilidad si una empresa no decide solucionarla, ¿no podría ocurrir que los ciberdelincuentes se aprovechen de esa publicación para explotarla?

Corrons admite que ofrecer demasiada información sobre los fallos permite que los ciberdelincuentes investiguen y ataquen con facilidad ciertos sistemas. Sin embargo, el experto de Panda cree que, si los ha encontrado Google, puede haberlos encontrado también otra persona o grupo criminal. Pueden llevar años explotándolos en secreto. El hecho de que no se hayan publicado no significa que no se hayan descubierto. De hecho, existen mafias especializadas en buscar este tipo de agujeros inéditos e incluso en comprar vulnerabilidades 'zero day' que nadie más conoce.

Volviendo a la cuestión de los competidores, Ramírez cree que, si Google publica vulnerabilidades propias de la misma forma que publica las de los demás, puede estar asumiendo un rol interesante, actuando como vigilante para que se resuelvan problemas de seguridad. “Si sólo publican fallos de terceros, evidentemente, lo que hacen es interesado”.

Daswani también piensa que 'Project Zero' puede ser una iniciativa interesante, y considera que la multinacional lo impulsa como una cuestión de responsabilidad con el usuario. Por su parte, Corrons no cree que la misión de la compañía sea “meter el dedo en el ojo del contrario” porque “no le hace falta”. A su juico, “ellos tienen un gran equipo, son capaces de ver los fallos y han decidido publicarlos y cualquier empresa es libre de hacer lo mismo”.

Además, añade David Sancho, los competidores directos de Google tienen equipos de respuesta tan buenos o mejores que los suyos, y cuando tienen conocimiento de una posible vulnerabilidad trabajan en ella al instante. “Quiero pensar que Google tiene buena intención”, sentencia el investigador de Trend Micro.

En todo caso, el debate sobre el 'full disclosure', sobre hacer públicas o no las vulnerabilidades, siempre ha estado sobre la mesa. No deja de ser un tira y afloja entre los que descubren fallos, los que tienen que solucionarlos y los que pueden aprovecharse de ellos (o ya lo están haciendo). Lo único indiscutible es que hace falta dar una solución rápida y efectiva al cliente final (que somos todos). Esa es la principal misión de muchos 'hackers' y, probablemente, también la de Google con su 'Project Zero'.

-----------------

Las fotografías utilizadas son propiedad, por orden de aparición, de Robert Scoble, Sebastiaan Ter Burg, Guilherme Tavares, Jacinta Lluch Valero,Tim Lucas, Jim Killock, Google Images y hackNY.orgRobert Scoble Sebastiaan Ter Burg Guilherme Tavares Jacinta Lluch Valero Tim Lucas Jim Killock Google Images hackNY.org

Etiquetas