Google ha puesto en peligro a millones de usuarios al publicar un bug de Windows 10

Un nuevo bug de Windows 10 publicado por Google ha levantado la polémica.

En la industria existen ciertas prácticas relacionadas con la seguridad; no es obligatorio seguirlas, pero es lo mejor para todo el mundo.

Por ejemplo, pongamos que una compañía descubre un bug en un programa creado por otros; la buena práctica aquí sería avisar a los creadores originales para que puedan tapar el bug, antes de hacerlo público.
Así es el bug de Windows 10 publicado por Google

Eso no es lo que ha hecho Google, publicar un bug de “día cero” de Windows 10; eso significa que Microsoft no tenía constancia de este bug, y que por lo tanto no tiene ninguna medida contra él.

El bug es especialmente peligroso porquepermite escapar del “sandbox” de Windows; un sandbox o caja de arena es un contenedor que evita que los programas accedan a partes del sistema que no deberían acceder.

Es un bug importante, más aún porque Google ha confirmado que ya está siendo usado por hackers.

¿Ha hecho bien Google en publicar el bug?

Al publicar este bug, puede que Google haya puesto en peligro a millones de usuarios; así es como lo ve Microsoft, que acusa a Google de no seguir las buenas prácticas de la industria. Pero, ¿tiene razón?

La verdad es que Google no publicó la vulnerabilidad en cuanto la descubrió; el pasado 21 de octubre, Google avisó a Microsoft y a Adobe de que había encontrado dos bugs de día cero, uno en Windows 10 y otro en Flash.

Adobe ya ha lanzado una actualización que arregla su bug, pero no así Microsoft. Así que, diez días después del aviso, Google ha decidido publicar los detalles para que los usuarios puedan tomar las medidas necesarias para protegerse.

En la seguridad, el secretismo nunca funciona. Es mejor saber que el bug está siendo explotado, que ser ignorantes y no protegernos.