La comunicación de vulnerabilidades, en tiempo de cambio

En los últimos días hemos visto publicadas importantes vulnerabilidades para los sistemas Windows, lo cual nos muestra la necesidad de no bajar la guardia. En concreto, se desveló la posibilidad de que un atacante vulnerase el servicio de escritorio remoto sin necesidad de autenticarse y sin requerir interacción por parte del usuario. Aunque no se ha tenido conocimiento de malware que haga uso de esta vulnerabilidad, es obvio que esta situación cambiará y aquellos sistemas que no hayan sido parcheados se verán seriamente comprometidos.

Por otro lado, también hemos conocido que la NSA advirtió a Microsoft de la existencia de una vulnerabilidad en Windows 10 y Windows Server 2016 mediante la cual un atacante podría llegar a falsificar una firma digital. Este hecho podría propiciar que un malware se hiciera pasar por una aplicación legítima, no teniendo el usuario ninguna capacidad de prever tal amenaza. Además de la importancia de dicha vulnerabilidad, es muy relevante el hecho de que esta agencia de seguridad nacional decidiese contactar con el fabricante involucrado, en vez de guardar ese conocimiento para convertirlo en una ciberarma. Por tanto, esto nos puede dar una idea de la sensibilidad asociada a esta amenaza y puede que abra camino para que tal tipo de comunicados se empiece a normalizar.

Dentro de este mismo ámbito de la publicación y comunicación de vulnerabilidades, hemos visto cómo el denominado Project Zero de Google ha modificado su política de divulgación. Así, pasarán de publicar los detalles de las vulnerabilidades encontradas una vez el fabricante responsable lanzase el parche correspondiente, a esperar un plazo de noventa días desde la notificación a los proveedores. La idea perseguida es posibilitar el desarrollo más eficaz de los parches y que un importante número de organizaciones hayan podido implantarlos, antes de que se conozcan detalles específicos sobre la explotación de las amenazas.