Agencias\/ Ciudad de M\u00e9xico.- El equipo de ciberseguridad Project Zero de Google, que se ocupa de investigar e informar sobre vulnerabilidades ‘d\u00eda cero’ en aplicaciones y servicios virtuales, ha decidido ampliar 30 d\u00edas m\u00e1s el plazo que da a las empresas antes de publicar un fallo de seguridad, que podr\u00e1 llegar a 120 d\u00edas.<\/p>\n
Hasta ahora, Project Zero daba a los desarrolladores de aplicaciones y sistemas vulnerables 90 d\u00edas, para dar a las empresas tiempo de margen suficiente como para parchear un problema de seguridad antes de darlo a conocer de forma p\u00fablica.<\/p>\n
Ahora, Google ha anunciado una nueva pol\u00edtica<\/a> para sus investigadores de Project Zero, en la que recoge que, en los casos en que las empresas distribuyan un parche de seguridad durante el plazo de 90 d\u00edas, esperar\u00e1 30 d\u00edas despu\u00e9s de la actualizaci\u00f3n para publicar detalles t\u00e9cnicos.<\/p>\n De esta manera, Google busca que haya tiempo suficiente de que los usuarios instalen la actualizaci\u00f3n y mitiguen el problema de seguridad antes de dar a conocer el error, aunque seguir\u00e1 publicando las vulnerabilidades si, despu\u00e9s de 90 d\u00edas, siguen sin solucionarse.<\/p>\n En los casos en los que las vulnerabilidades est\u00e9n siendo explotadas por cibercriminales y los usuarios est\u00e9n siendo afectados, el periodo de margen que daba Project Zero permanece en siete d\u00edas antes de publicar el error.<\/p>\n No obstante, en estos casos tambi\u00e9n se aplica la nueva pol\u00edtica, y Google esperar\u00e1 30 d\u00edas<\/strong> si los desarrolladores liberan un parche de seguridad durante el periodo de siete d\u00edas.<\/p>\n Asimismo, Project Zero contempla un periodo de gracia para las empresas que as\u00ed lo soliciten, de 14 d\u00edas en el caso de que la vulnerabilidad no se haya explotado y de tres d\u00edas en caso de que s\u00ed la hayan aprovechado los cibercriminales. Estos d\u00edas de margen se descuentan de los 30 d\u00edas adicionales.<\/p>\n Google ha avanzado que planea que su pol\u00edtica de Project Zero para 2022 pase a ser de 84 d\u00edas antes de desvelar una vulnerabilidad y de 28 d\u00edas adicionales en caso de parche, de manera que se reduce la probabilidad de que la fecha de fin de plazo caiga en fin de semana.<\/p>\n Google Project Zero is switching to a \u201c90+30 model,\u201d where vulnerable vendors will now have 90 days for patch development, and an additional 30 days for patch adoption.https:\/\/t.co\/ZPijSLRe2J<\/a><\/p>\n Goals: — The Hacker News (@TheHackersNews) April 16, 2021<\/a><\/p><\/blockquote>\n\n
\u2014Faster patch development
\u2014Thorough patch development
\u2014Improved patch adoption pic.twitter.com\/V9N5kOmdmw<\/a><\/p>\n