Los fabricantes de 'software' tardan seis meses en arreglar sus fallos
Hispasec estudia las vulnerabilidades secretas de diez gigantes de la inform¨¢tica
Seis meses de media es el tiempo que tardan los grandes fabricantes de software en arreglar los agujeros de sus programas, seg¨²n un estudio de Hispasec, laboratorio especializado en seguridad y tecnolog¨ªas de la informaci¨®n. Hispasec estudi¨® vulnerabilidades de Sun, Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle y Adobe, desde 2005 a 2009.
La condici¨®n com¨²n de todos esos agujeros de programaci¨®n era que no se hab¨ªan hecho p¨²blicas, es decir, que el fabricante no ten¨ªa la presi¨®n de la opini¨®n p¨²blica para repararlos cuanto antes.
Hispasec emple¨® los datos de iDefense y ZeroDayInitiative, dos empresas dedicadas a comprar vulnerabilidades. Los investigadores privados que encuentran un fallo pueden acudir a ellos a vender los detalles. Una vez pagan por la vulnerabilidad, estas dos empresas informan al fabricante del problema y anuncian el fallo s¨®lo cuando existe parche disponible. Una vez que la vulnerabilidad sale a la luz, tanto iDefense como ZeroDayInitiative publican la cronolog¨ªa de la vulnerabilidad, cu¨¢ndo fue informado el fabricante, cu¨¢ndo reconoci¨® el fallo, y cu¨¢ndo se estableci¨® la fecha en la que ambos har¨ªan p¨²blica el fallo, que normalmente coincide con el parche.
Con esos datos, Hispasec ha medido el tiempo medio que tardan los gigantes del software en arreglar los fallos que compraron estas empresas, es decir, que no son todos, sino s¨®lo los que les interesaron comprar. La media es de unos seis meses. El que m¨¢s tarda en arreglar los fallos es Oracle, con 301 d¨ªas; seguido de Microsoft, 228; HP, 210; y Sun, 184 d¨ªas.
Hispasec destaca en el caso de HP, que iDefense esper¨® tres a?os a que solucionase un fallo, pero HP nunca lo hizo porque se trataba de un producto que ya no apoyaba t¨¦cnicamente. Al final el fallo se hizo p¨²blico y sin parche.
En el caso de Apple, soluciona los fallos de seguridad en un tiempo "razonable", incluso arregla antes los que son privados que los que se hacen p¨²blicos. Sobre Sun: "Incluso cuando los fallos son conocidos y p¨²blicos, puede dejar pasar a?os hasta que publica su parche oficial. Adem¨¢s un impreciso porcentaje de sus parches producen inestabilidad del sistema".
"El peor parado en este estudio, y no sinraz¨®n", dice Hispasec, "es Oracle. Desde siempre ha tenido serios problemas para administrar la seguridad de sus m¨²ltiples productos". En el caso de Microsoft: "Ha mejorado infinitivamente su pol¨ªtica de seguridad desde 2004. Aun as¨ª sufre tremendos problemas para gestionar el problema de seguridad que acarrea desde sus inicios. Uno de sus fallos tard¨® en arreglar 1.021 d¨ªas".
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
