Microsoft recrimina a Google la revelación de una vulnerabilidad en Windows 8.1
Microsoft ha hecho pública una declaración en la que critica la decisión de Google de revelar en diciembre un agujero de seguridad en Windows 8.1 detectada en septiembre, a pesar de las peticiones de Microsoft a Google para que ésta esperase a que la vulnerabilidad fuera parcheada.
El grupo de élite de Google para la detección de vulnerabilidades, denominado Project Zero, notificó en septiembre a Microsoft que había dado con un agujero de seguridad en su sistema operativo Windows 8.1. En ese momento empezaron a contar los 90 días que Google tiene por norma ofrecer para que la compañía afectada solucione el problema antes de hacerlo público, durante los cuales Microsoft se puso a trabajar en el desarrollo de un parche. Pero en diciembre Google reveló finalmente la vulnerabilidad, sin que Microsoft la hubiera contrarrestado.
Ahora, Microsoft declara que había estado enviando peticiones a Google para retener la información durante más tiempo, además de ofrecerles la posibilidad de trabajar conjuntamente para solucionar el problema. La compañía creadora del sistema operativo Windows tenía planeado publicar el parche este martes.
Más allá del perjuicio que pueda suponer la revelación para Microsoft, su director de seguridad Christopher Betz considera que la decisión es un error por parte de Google, pensando en el beneficio de los usuarios. Según él, las compañías deberían trabajar coordinadas en la detección, divulgación y solución de vulnerabilidades, ya que la publicación de estos problemas supone una presión añadida para un área cuyos procesos de búsqueda de soluciones suelen ser laboriosos y extensos en el tiempo. Por otro lado, Betz cree que la revelación precipitada podría ser aprovechada por ciberdelincuentes para explotar la vulnerabilidad en su beneficio.
“De las vulnerabilidades divulgadas de forma privada a través de prácticas coordinadas de comunicación por todos los proveedores de software, hemos encontrado que casi ninguna se explota antes de que se proporcione a los clientes un parche”, asegura Betz. “Por el contrario, el historial de vulnerabilidades divulgadas públicamente antes de que los parches estén disponibles para los productos afectados es mucho peor; con mayor frecuencia los ciberdelincuentes orquestan ataques contra aquellos que no tienen o no pueden protegerse a sí mismos”.
Betz opina abiertamente en el comunicado que la política de Google tiene menos que ver con una cuestión de principios y más con apuntarse un “te pillé”.