Google Project Zero prueba transparencia en informes para reducir brechas de parches en 2025

Google Project Zero anuncia ensayo de transparencia en informes para abordar brechas de parches

Mountain View, CA – Julio de 2025 – Google Project Zero, liderado por Tim Willis, ha presentado una nueva política de ensayo denominada Transparencia en Informes (Reporting Transparency), con el objetivo de reducir la "brecha de parches upstream" —un retraso crítico en el proceso de remediación de vulnerabilidades. Esta iniciativa busca acelerar la entrega de correcciones de seguridad a los usuarios finales mediante la mejora de la transparencia entre proveedores upstream y dependencias downstream.

Detalles clave de la actualización de la política

Bajo el modelo de divulgación existente 90+30, los proveedores disponen de 90 días para abordar una vulnerabilidad antes de su divulgación pública, con un período adicional de 30 días para la adopción del parche si la corrección se publica antes. El nuevo ensayo introduce un sistema de notificación pública temprana:

• En el plazo de una semana tras reportar una vulnerabilidad, Project Zero divulgará públicamente:
  • El proveedor o proyecto de código abierto que recibió el informe.
  • El producto afectado.
  • La fecha de presentación del informe y la fecha límite de divulgación (90 días).

Google Big Sleep, una colaboración entre Google DeepMind y Project Zero, también adoptará esta política. Los informes de vulnerabilidades se rastrearán a través del seguidor de incidencias de Google Big Sleep.

Abordando la brecha de parches upstream

La brecha de parches upstream se refiere al retraso entre la publicación de una corrección por parte de un proveedor upstream y la integración de dicha corrección por parte de las dependencias downstream en sus productos. Esta brecha extiende significativamente el ciclo de vida de la vulnerabilidad, dejando a los usuarios finales expuestos incluso después de que un parche esté disponible.

"Para el usuario final, una vulnerabilidad no se soluciona cuando un parche se libera de Vendedor A a Vendedor B; solo se soluciona cuando lo descargan e instalan," explicó Willis. "Para acortar esta cadena, debemos abordar el retraso upstream."

Objetivos e impacto esperado

El objetivo principal del ensayo de Transparencia en Informes es:

• Aumentar la transparencia proporcionando señales tempranas a las dependencias downstream sobre vulnerabilidades upstream.
• Fomentar canales de comunicación más sólidos entre proveedores para acelerar el desarrollo y la adopción de parches.
• Permitir el seguimiento público del tiempo que tardan las correcciones en llegar a los usuarios finales, especialmente si nunca llegan.

Project Zero anticipa que este ensayo fomentará un ecosistema de seguridad más proactivo, reduciendo en última instancia la ventana de exposición para vulnerabilidades críticas.

Implicaciones de seguridad y respuesta de la industria

Aunque el ensayo pueda atraer inicialmente la atención pública hacia vulnerabilidades no corregidas, Project Zero enfatiza que no se divulgarán detalles técnicos, código de prueba de concepto ni información que facilite la explotación antes de la fecha límite de divulgación. La política está diseñada para servir como un mecanismo de alerta, no como una hoja de ruta para atacantes.

"Creemos que los beneficios de una política justa, simple y transparente superan el riesgo de inconvenientes para un pequeño número de proveedores," declaró Willis. "En 2025, la mera existencia de vulnerabilidades en el software no debería ser sorprendente ni alarmante. Los usuarios finales están más conscientes que nunca de las actualizaciones de seguridad, y es ampliamente aceptado que los sistemas complejos tendrán vulnerabilidades."

Próximos pasos y monitoreo

Como ensayo, Project Zero monitoreará de cerca los efectos de la política y realizará ajustes según sea necesario. El objetivo final es crear un ecosistema más seguro donde las vulnerabilidades se remedien no solo en los repositorios upstream, sino también en los dispositivos, sistemas y servicios utilizados diariamente por los usuarios finales.

Se alienta a los profesionales de la seguridad y a los proveedores a proporcionar retroalimentación a medida que avance el ensayo. Para más detalles, visite la página de Transparencia en Informes de Project Zero.