Una falla de seguridad enfrenta a Google y Microsoft

Google reveló al público la existencia de una falla de seguridad “particularmente seria” en Windows 10, que le permite a los atacantes acceder a información personal y que “está siendo activamente explotada”, y Microsoft cuestionó al gigante de Internet por no haberle dejado tiempo de repararla.

En su blog dedicado a la seguridad informática, Google publicó un texto en el que da cuenta de la existencia de este agujero en la seguridad de la última versión de Windows, que aún está pendiente de ser reparado, apenas una semana después de haberle avisado a Microsoft, responsable del sistema operativo.

La empresa del buscador consideró que este asunto es “particularmente serio porque sabemos que está siendo activamente explotado”.

Pero desde Microsoft señalaron que necesitan más tiempo para desarrollar un parche y cuestionaron que la publicación de ese texto pudo haber contribuido a generar más daño.

“Creemos en el descubrimiento coordinado de vulnerabilidades, y el descubrimiento de Google de hoy puso a los clientes en un riesgo potencial”, afirmó anoche un vocero de Microsoft en declaraciones al sitio VenturBeat.

“Windows es la única plataforma con un compromiso hacia el cliente para investigar los asuntos de seguridad reportados y proactivamente actualizar los dispositivos afectados los más pronto posible”, agregó.

La vulnerabilidad en cuestión implica a un archivo llamado Win32k.sys, que el sistema operativo requiere para mostrar los gráficos; según trascendió, el mismo no debe ser borrado ni alterado ya que hacerlo puede causar un error en el sistema que resulta en la llamada “pantalla azul de la muerte”, en referencia a la pantalla mostrada cuando Windows no puede recuperarse de un error del sistema y se cuelga.

Según informó Google, “la vulnerabilidad de Windows es un escalamiento del privilegio local en el kernel de Windows, que puede ser usado como para escapar de la seguridad definida por el sistema”, es decir que una vez comprometido el sistema, puede permitir a un tercero el acceso a la computadora.

Google lleva adelante desde 2013 una política para detectar agujeros de seguridad en los sistemas y les da a los desarrolladores un período de 60 días para arreglarlos, siempre que no se sospeche que esas fallas están siendo explotadas; en cambio, otorga siete días para repararlas si considera que está siendo utilizadas.

Muchas empresas consideran que una semana no es tiempo suficiente para desarrollar un parche de seguridad y Google admite que el período temporal es corto, pero decide advertir igual sobre los peligros.

“Siete días es un límite temporal agresivo y puede ser muy corto para que algunas empresas actualicen sus productos, pero debería ser tiempo suficiente para publicar consejos sobre posibles mitigaciones, como deshabilitar temporalmente un servicio, restringir el acceso o contactar al vendedor para más información”, señaló en su blog.

Como sea, no se trata de la primera vez que el buscador da a conocer las vulnerabilidades de Windows: lo hizo en 2015 con la versión 8.1 del sistema operativo, 90 días después de informarle del problema a Microsoft, recordó el diario británico The Guardian.