Lanzan iniciativa para detectar y registrar fallas en Internet

Google anunció la creación de “Project Zero”, una iniciativa para rastrear y almacenar en una base de datos vulnerabilidades que puedan afectar a Internet, para evitar que sean aprovechadas por cibercriminales.

El proyecto propone reportar las fallas conocidas como “zero day”, traducción de “día cero”, aquellas que permiten explotar debilidades hasta entonces desconocidas y de las que cibercriminales suelen aprovecharse para robar datos o inmiscuirse en computadoras ajenas, entre otras cosas.

La movida busca evitar situaciones como la que devino con “Heartbleed”, la falla descubierta en abril, que dejó vulnerables a cientos de miles de sitios web de todo el mundo por un error en el más común de los sistemas de encriptación

Según informó el ingeniero de Google Chris Evans, la compañía conformará un equipo de expertos en seguridad que se dedicará a investigar la web para detectar dichas fallas “en cualquier software” que consideren que valga la pena, por la magnitud de su uso.

Las vulnerabilidades primero se le informarán al desarrollador del software para que pueda dedicarse a arreglarla.

“Cada falla que detectemos se almacenará en una base de datos externa. Sólo le informaremos de ella al creador del software y no a terceros”, explicó Evans en el blog corporativo de Google.

“También nos comprometemos a enviar reportes a las empresas de software tan cerca del tiempo real como sea posible y a trabajar con ellos para encontrar soluciones en un plazo razonable“, agregó.

La movida busca evitar situaciones como la que devino con “Heartbleed”, la falla descubierta en abril, que dejó vulnerables a cientos de miles de sitios web de todo el mundo por un error en el más común de los sistemas de encriptación.

La idea es que las personas puedan navegar por la web “sin miedo de que un criminal o una agencia del Estado esté explotando vulnerabilidades de software para infectar tu computadora, robar secretos o monitorear tus comunicaciones”, explicó Evans.

Como se sabe, la seguridad informática no es un tema nada menor. Hace poco, de hecho, cientos de miles de sitios y servicios de correo electrónico de todo el mundo quedaron vulnerables ante posibles ataques debido a una grave falla en OpenSSL, el software de cifrado más utilizado en la web, descubierta la semana pasada pero vigente desde 2012.

La vulnerabilidad, conocida como “Heartbleed”, fue descubierta la semana pasada por empleados de Google y de la empresa de seguridad informática Codenomicon, y desde OpenSSL publicaron ayer una actualización que recomiendan instalar a todos los administradores de servicios en Internet.

El OpenSSL, utilizado por más del 60 por ciento de los servicios web, permite encriptar y desencriptar datos en las comunicaciones entre servidor y cliente (es decir, sirve para evitar que terceros accedan a información privada).

En los sitios que lo emplean -como los bancos, el comercio online o los servicios de correo electrónico-, se lo ve como un pequeño candado al lado del “https” de la URL.

“Esta vulnerabilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet”, informa Heartbleed.com, un sitio creado para explicar la falla.