Bloomberg News.-Google Inc. dio un ultimátum a sus empresas colegas del área de tecnología: corrijan las vulnerabilidades de su software en un plazo de 90 días o las daremos a conocer.
Un equipo de élite formado por hackers y programadores de Google hurga en el software propio y el de sus competidores para buscar fallas de seguridad, dando un plazo a las empresas para crear una solución.
Google quiere que los fabricantes de software actúen rápido porque los ciber-delincuentes actúan con la velocidad de un rayo cuando detectan problemas, dice.
Se trata de un tema sensible –rivales como Microsoft Corp. y Apple Inc. se negaron a hablar sobre la táctica- pero otros en el sector dicen que la ayuda no siempre es bienvenida, usurpa una función que compete más al Estado y puede debilitar la seguridad.
“No sé quién convirtió a Google en el árbitro oficial del mercado para la notificación de vulnerabilidades”, dijo John Dickson, director de la compañía de seguridad en software Denim Group Ltd. en San Antonio.
Presionar a las empresas para que solucionen las fallas es una buena idea, dijo, pero “podría cuestionarse qué motivos nobles albergaban teniendo en cuenta el hecho que esencialmente revelaron vulnerabilidades de dos de sus mayores rivales”.
Google creó el equipo en julio, llamándolo Project Zero por los muy temidos fallos de seguridad del “día cero” que son aprovechados antes de que los desarrolladores los constaten.
Dice que se propone ayudar a todos además de proteger sus propios productos que funcionan en dispositivos y software de otros.
Es una actividad que, a los ojos de algunos expertos en seguridad, resulta más apropiada para un organismo público.
Los roles respectivos de los sectores privado y público figuran en el orden del día de una cumbre sobre ciberseguridad el viernes en Palo Alto, California, donde el presidente Barack Obama exhortará a los líderes de la tecnología a mejorar la cooperación y compartir más información.
Tema que divide aguas
Algunos científicos se preguntan sin embargo en voz alta cuánta cooperación puede esperarse si las compañías más grandes de Internet no pueden llevarse bien.
“Apoyamos una serie de iniciativas, como Project Zero y nuestros Security Reward Programs, para descubrir y solucionar amenazas online”, dijo en un correo electrónico Aaron Stein, portavoz de Google, con sede en Mountain View, California.
Apple se negó a hacer comentarios en tanto Microsoft se limitó a remitir a un comunicado anterior en el cual decía que la táctica de Google se parecía a un juego de “gotcha” (característica de un programa que trabaja de un modo que es correcto desde el punto de vista formal pero no es lo que se espera de él), ilustrando hasta qué punto el tema divide aguas.
“Que estas empresas ni siquiera puedan llevarse bien es malo para la seguridad en todo el ecosistema”, dijo Jake Kouns, máximo responsable de seguridad de la información en Risk Based Security Inc. en Richmond, Virginia.
Los detractores de la práctica de Google dicen que pone en peligro la seguridad online revelando grietas antes de poder taparlas.