Project Zero es una división de Google que se encarga, desde el año 2014, de encontrar fallos de seguridad en Android, de tal forma que no solo tiene como objetivo hacer más seguro el sistema operativo encontrado fallas, sino que coordina todo el sistema de comunicación alrededor de las marcas que fabrican dispositivos con el OS de los de Mountain View.

La noticia que os traemos hoy tiene que ver con las políticas de comunicación de Project Zero, que van a cambiar, en principio, impulsadas por la necesidad de no dar publicidad a un problema de seguridad antes de que exista un parche que aplicar, aunque que en la práctica pueden provocar que los hackers nos ataquen ya que el aviso a todos los usuarios llegará de forma más tardía, solo cuando ya se haya publicado una solución. Es decir, que estaremos más tiempo expuestos a amenazas.

Google no tenía una fácil decisión

Hasta ahora, Project Zero se encargaba de dar aviso de las vulnerabilidades que encontraba avisando a las compañías para que lo arreglaran. Eso sí, todas trabajaban con la espada de Damocles de contar con 90 días hasta que Google lo hacía público, o antes si había un parche publicado. Si la empresa responsable de la falla de seguridad no adoptaba una solución durante esos tres meses, los hackers podrían aprovechar ese tiempo para atacar si cabe con mayor persistencia. Aun así, con estas medidas, algunas empresas demoraban tanto la solución que, cuando llegaba, se adoptaba con mucho retraso provocando un problema mayor.

Hackers | OC

Ahora, de cara a 2020, Project Zero quiere hacer un pequeño ajuste que tendrá en pruebas para ver si se trata de un método más fiable que el de 2019 para tomar, así, una decisión definitiva de cara a 2021. Este cambio afecta a que, de forma predeterminada, Google dará siempre esos 90 días de margen para hacer público el problema de seguridad, independientemente de que haya ya un parche a disposición de los usuarios o no. De esta manera, los de Mountain View creen que será más sencillo que ese update llegue a un mayor número de usuarios en el momento que se haga público.

Ahora bien, ¿qué ocurre si algún usuario no está atento a esas actualizaciones que, muchas veces, se quedan esperando a que entremos en el menú correcto para instalarlas? Pues que estaremos en riesgo hasta que, 90 días después de su detección, Project Zero lo haga público, los medios de comunicación nos hagamos eco de ellos y nos enteremos de que nuestro móvil podría haber sido hackeado.

Este nuevo sistema de alerta para 2020 tiene una excepción a esos 90 días que Porject Zero tardará en hacer público un problema en Android: que exista un acuerdo mutuo entre las dos empresas (Google y la responsable del fallo de seguridad) para dar a conocer de forma temprana cuál es el bug o hack que utilizan los piratas informáticos para tratar de hacerse con el control de nuestro móvil o con todo el contenido que tenemos en él. Eso, si no existe de por medio la idea de realizar phising, que es incluso peor.