Linux es el sistema operativo que ofrece una respuesta más rápida cuando se detecta algún error de seguridad en el sistema operativo, frente a otros competidores como Apple o Microsoft. Esta es una de las conclusiones obtenidas por Project Zero, el equipo de investigación en ciberseguridad de Google, en su último informe, donde ha procedido al análisis de las correcciones de errores y vulnerabilidades de los que informaban a los fabricantes.

Según los datos de Google, entre enero de 2019 y diciembre de 2021, Project Zero informó de la presencia de un total de 376 problemas detectados en plataformas de diferentes empresas, como Apple, Microsoft, Adobe, Google, Oracle o Linux. El procedimiento llevado a cabo es el siguiente: una vez que un proveedor recibe un informe de error dentro de un plazo estándar, tiene 90 días para corregirlo y actualizarlo con un parche de seguridad.

Este proveedor también puede solicitar un plazo adicional, también denominado período de gracia, de 14 días, si confirma que planea publicar la corrección en la conclusión de esa prórroga. En base a estas circunstancias, desde Google han analizado con qué frecuencia los proveedores pueden cumplir con estos plazos y hallar la solución y lanzarla con un parche de seguridad en diferentes plataformas.

Según apunta Google en este informe, generalmente, los resultados obtenidos por este estudio muestran que casi todos los grandes proveedores consiguen cumplir sus objetivos antes de los 90 días. En este caso, la mayor parte de las correcciones durante los 14 días adicionales a lo largo de los meses analizados fueron llevadas a cabo por Apple y Microsoft. Por su parte, la plataforma Oracle superó la fecha límite de los 104 días en total.

En este sentido, el informe revela que de los 376 problemas iniciales registrados, 351 errores (el 93,4 por ciento del total) fueron corregidos, mientras que 14 (3,7 por ciento) fueron marcados como ‘No reparables’ (WontFix) por parte de estos proveedores y otros 11 (2,9 por ciento) seguían sin corregirse en el momento de la presentación de estos datos, el pasado 10 de febrero de 2022.

Los resultados de esta investigación determinan que, en el periodo analizado, la mayoría de las vulnerabilidades se agrupan en torno a tres proveedores: Apple, con 85 errores; Microsoft, con 80 errores; y Google, con 56. Asimismo, los resultados de esta investigación determinan que los desarrolladores de Linux son los más rápidos en corregir fallos de seguridad y ofrecer esa protección a los usuarios.

Concretamente, Linux tardó una media de 25 días en corregir errores detectados, al contrario que Apple, que tardó una media de 69 días para poner solución a estos fallos, seguidos de Microsoft (83), Google (44), Samsung (72), Adobe (65), Mozilla (46) y Oracle (109).

Finalmente, desde Google aportan como ‘Otros’ los datos correspondientes a un compendio de proveedores, que son Apache, ASWF, Avast, AWS, c-ares, Canonical, F5, Facebook, git, Github, glibc, gnupg, gnutls, gstreamer, haproxy, Hashicorp, insidesecure, Intel, Kubernetes, libseccomp, libx264, Logmein, Node.js, opencontainers, QT, Qualcomm, RedHat, Reliance, SCTPLabs, Signal, systemd, Tencent, Tor, udisks, usrsctp, Vandyke, VietTel, webrtc y Zoom.

Estos últimos, por ejemplo, tardaron 44 días de media en solucionar los errores, y gran parte de ellos, el 87 por ciento, se resolvieron en los 90 primeros días. A pesar de que los resultados no son positivos, desde Project Zero sí reconocen que el promedio de días para llevar a cabo estas correcciones se ha reducido en 2021 con respecto a los dos años anteriores.

MEJORAN LOS TIEMPOS EN 2021

En líneas generales, en 2021 se tardó una media de 52 días en resolver problemas de seguridad, frente a los 67 días de media registrados en 2019, por lo que todos los sistemas operativos mejoraron sus resultados. No obstante, vuelven a darse diferencias en el tiempo de corrección de errores desde enero de 2019 hasta diciembre de 2021 por volumen de informes de errores.

En este aspecto, Apple y Microsoft continúan registrando los peores tiempos de recuperación, ya que tardaron 64 y 76 días de media, respectivamente, en poner solución a estos errores en 2021; frente a Linux, que lo hizo en 15 días. Google, por ejemplo, redujo sus tiempos de recuperación en 2020, hasta llegar a una media de 22 días de media para corregir sus errores (frente a los 32 que registró en 2019). Sin embargo, en 2021 tardó hasta 53 días en arreglar estos fallos.

Por otra parte, en este informe se analiza el tiempo promedio de reparación en sistemas operativos de móviles. En este caso, no son relevantes las diferencias entre iOS, Android para móviles Samsung y Android en dispositivos Píxel. Mientras que en iOS se registró un total de 76 errores y se tardó de media 70 días en corregirlos, en Android para Samsung solo se advirtieron 10 errores, pero el tiempo promedio de reparación fue de 72 días.

Android para Píxel, por su parte, tardó una media de 72 días en solucionar esos fallos mediante parches de seguridad, pero solo registró seis errores en total.

NAVEGADORES DE CÓDIGO ABIERTO

Project Zero de Google también ha estudiado el comportamiento de los navegadores web de código abierto durante los últimos tres años. En concreto, de Chrome, WebKit y Firefox. En este caso, los datos son menos concretos, puesto que no han podido medir el tiempo que pasa entre que un proveedor recibe un informe de un problema de seguridad, cuánto tiempo emplea entre ese momento y la corrección, y cuánto pasa entre que se corrige y se lanza una nueva compilación con una solución.

Conforme a los resultados, desde Google advierten de que Chrome es actualmente el más rápido de los tres navegadores, con una media de 30 días desde que se informa del error hasta el lanzamiento de una solución. A pesar de que procede rápidamente a la solución, tarda más tiempo en presentar el parche. Por otra parte, Firefox ocupa el segundo lugar en el análisis, aunque con una cantidad de errores menor que la de sus competidores.

En concreto, este navegador lanza una corrección en un promedio de 38 días, desde Google insisten en que Firefox retrasa intencionalmente la ejecución de parches de seguridad para reducir su exposición antes de que se publique la corrección. Una vez que el parche se lanza de manera oficial, lanza la versión definitiva en menos días que Chrome y la gran mayoría de las correcciones se envían entre 10 y 15 días después de su parche público.

Por último, WebKit es el navegador que tarda más tiempo en poner solución a los errores con un parche de seguridad, ya que presenta una media de 73 días. En este caso, el tiempo que tardan en publicar el parche se sitúa entre los otros dos navegadores, pero se lo reserva durante un tiempo mayor antes de publicarlo. Debido a la existencia de este margen, existe la posibilidad de que los atacantes lo encuentren y lo exploten antes de que esté a disposición de los usuarios de forma pública y oficial.

Finalmente, desde Project Zero indican que, teniendo en cuenta los resultados de los tres años estudiados y en base a la evolución en 2021, para este año las previsiones son esperanzadoras. Asimismo, creen que se han reducido los tiempos porque los proveedores han aprendido «las mejores prácticas» y ha habido «una mayor transparencia en la industria», además de que están mejor equipados para hacer frente a este tipo de fallos de seguridad.

Fuente: Portaltic/EP.