🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
Project Zero es una división de seguridad en Google que fue fundada en 2014 con el objetivo de descubrir vulnerabilidades que son desconocidas para el fabricante.
El grupo surgió a raíz de «Heartbleed», un fallo de seguridad que fue descubierto en 2014 por dos grupos de seguridad independientes, uno de ellos pertenecientes a Google, que informaron al desarrollador de OpenSSL. El fallo fue desvelado al público unos días después, coincidiendo aproximadamente con el lanzamiento del parche que lo solucionaba.
Esto significa que los sistemas que no fueron parcheados inmediatamente quedaron en peligro — aunque dar un corto plazo también suele ser una motivación para que los equipos de desarrollo solucionen rápidamente el fallo..
Desde entonces, Project Zero ha funcionado de forma similar: cuando encuentran un fallo, informan en privado a la compañía que desarrolla el software, quien tiene 90 días para solucionar el fallo.
Si lo solucionan antes de que acabe el plazo, Google comparte los detalles de la vulnerabilidad en ese momento. Si pasan los 90 días sin que haya sido resuelto, Project Zero hace público el fallo en cualquier caso para que los usuarios sean conscientes de los problemas que tiene el software que usan, además de para motivar al desarrollador a trabajar más rápido.
Sin embargo, no todo el mundo está satisfecho con este sistema ya que los usuarios (o los fabricantes) pueden no haber tenido tiempo para actualizar todos los sistemas afectados antes de que el fallo se haga público y queden expuestos.
Por esta razón, Project Zero ha anunciado que en 2020 esperará 90 días antes de anunciar una vulnerabilidad independientemente de lo rápido que el desarrollador haya sacado el parche que solucione el problema. De esta forma, los fabricantes que utilicen el software afectado (o el propio desarrollador) tendrá tiempo para actualizar los productos afectados antes e que se haga público.
La política de Google de desvelar el fallo en 7 días si encuentran pruebas de que está siendo explotado no se ve afectada por este cambio.