Ayudando a mejorar la gestión de vulnerabilidades en la ciberseguridad
El sector de la ciberseguridad ha mejorado en muchos aspectos, tanto en lo relacionado a los avances tecnológicos como a la colaboración. No obstante, aún tiene por delante numerosos retos, especialmente en el ámbito de la gestión de vulnerabilidades. A día de hoy, la cuestión de las vulnerabilidades de seguridad parece atrapada en un círculo: se detecta una vulnerabilidad, se corrige con un parche, poco después aflora otra, y así una y otra vez. Sin embargo, los riesgos que derivan de esas vulnerabilidades y lo que nos jugamos como sociedad son aspectos demasiado importantes como para conformarnos con mejoras graduales.
En los últimos años, Project Zero, un equipo independiente de Google dedicado a estudiar vulnerabilidades de día cero en los sistemas de hardware y software, ha sido pionero en el lanzamiento de parches de día cero y en acortar los plazos de divulgación, en interés de la seguridad de los usuarios. Sobre la base de ese trabajo, hoy queremos hablar de nuevos estudios e iniciativas que pueden ayudarnos a elevar el nivel y transparencia de la industria.
Hay brechas en el ecosistema
Con frecuencia, las vulnerabilidades de día cero dan lugar a titulares en la prensa. La realidad es que los riesgos persisten incluso después de que las vulnerabilidades se conozcan y se corrijan. Por ejemplo, existen riesgos asociados a los plazos de adopción de los parches por parte de los OEM, a problemas durante las pruebas de los parches, dificultades para que los usuarios realicen actualizaciones etc. Y no solo eso: de todas las vulnerabilidades de día cero que han sido explotadas de alguna manera y que analizamos a lo largo de 2022, más de una tercera parte fueron variantes de otras vulnerabilidades que ya se habían parcheado con anterioridad, lo que equivale a decir que la vulnerabilidad original no se había corregido por completo.
Hoy publicamos un libro blanco en el que proponemos varias iniciativas para hacer frente a estos riesgos:
- Una mayor transparencia sobre la explotación de vulnerabilidades y la adopción de parches por parte de proveedores y organismos públicos, para que la comunidad pueda diagnosticar mejor si los enfoques actuales funcionan.
- Una mayor atención a los puntos de fricción en todo el ciclo de vida de las vulnerabilidades, para garantizar que los riesgos para los usuarios se abordan de forma exhaustiva.
- Buscar la causa raíz de las vulnerabilidades y promover prácticas modernas para el desarrollo de un software seguro, con capacidad para cortar en origen vías completas de ataque.
- Protección para los investigadores en seguridad que actúan de buena fe. Estos investigadores trabajan en la detección de vulnerabilidades antes de que un atacante pueda explotarlas, y sus aportaciones a la seguridad, son importantes. Por desgracia, se enfrentan a amenazas legales cuando esas aportaciones no son bien recibidas o se malinterpretan, lo cual supone un freno a una investigación muy beneficiosa y a la divulgación de vulnerabilidades.
Cómo corregir el ecosistema entre todos
Para avanzar en estas cuestiones hace falta cooperación entre todas las partes interesadas: la industria, que desarrolla plataformas y servicios susceptibles de ser atacados; los investigadores, que no solo detectan vulnerabilidades, sino que apuntan medidas correctivas que pueden cerrar vías completas de ataque; los usuarios, que (lamentablemente) se ven obligados a hacer más de lo que deberían en materia de seguridad; y los gobiernos, que pueden crear estructuras de incentivos e influir en el comportamiento de todos los demás actores. Por nuestra parte, asumimos el compromiso de avanzar junto a todas estas partes interesadas. Y, en ese sentido, hoy hacemos varios anuncios:
- Hacking Policy Council: Por primera vez, se están haciendo leyes (unas ya aprobadas y otras en fase de propuesta) que exigen revelar las vulnerabilidades de forma privada a los gobiernos en determinadas circunstancias. Es importante que esas leyes estén bien hechas. Por eso, somos miembros fundadores del Hacking Policy Council, un grupo formado por organizaciones y líderes con ideas afines, con un objetivo muy concreto: que toda la nueva reglamentación se base en las mejores prácticas sobre revelación y gestión de vulnerabilidades y que no suponga una merma de seguridad para nuestros usuarios.
- Fondo para la Defensa Jurídica de la Investigación sobre Seguridad: Los investigadores independientes que trabajan en ciberseguridad —incluidos los de Google— hacen aportaciones enormemente importantes. Hoy anunciamos que aportaremos la financiación inicial para crear un fondo de defensa jurídica, destinado a proteger la investigación de buena fe en materia de seguridad. En muchos casos, los que detectan y comunican vulnerabilidades son individuos que trabajan de forma independiente y actúan de buena fe. Su labor da a los titulares de esos productos la oportunidad de corregir las vulnerabilidades antes de que un atacante pueda explotarlas en su beneficio. Sin embargo, no es raro que estas personas se enfrenten a amenazas legales, lo cual desincentiva la investigación sobre seguridad y la divulgación de vulnerabilidades, sobre todo en el caso de personas sin acceso a un buen asesoramiento legal. El Fondo para la Defensa Jurídica de la Investigación sobre Seguridad tiene como objetivo ayudar a financiar la representación legal de personas que realicen investigaciones de buena fe, en casos que aporten avances en ciberseguridad de interés público.
- Transparencia sobre las actividades de explotación: Una mayor transparencia en torno a la explotación de las vulnerabilidades ayuda a los usuarios a tomar medidas para protegerse, permite conocer mejor cómo actúan los atacantes y puede resultar en una mayor protección general. En nuestra opinión, esta transparencia debería formar parte de las políticas estándar del sector sobre divulgación de vulnerabilidades. Siempre que se ha explotado alguna vulnerabilidad de nuestros productos hemos priorizado la transparencia. A partir de hoy, la transparencia se convierte en un elemento explícito de nuestra política y asumimos el compromiso de divulgar públicamente cualquier situación en la que tengamos evidencia de que se ha explotado alguna vulnerabilidad de cualquiera de nuestros productos.
Seguiremos trabajando para reducir los riesgos derivados de las vulnerabilidades y colaboraremos con nuestros socios para impulsar cambios y construir entre todos un ecosistema más seguro.