Los fabricantes de 'software' tardan seis meses en arreglar sus fallos
Fuente: El País
Seis meses de media es el tiempo que tardan los grandes fabricantes de software en arreglar los agujeros de sus programas, según un estudio de Hispasec, laboratorio especializado en seguridad y tecnologías de la información. Hispasec estudió vulnerabilidades de Sun, Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle y Adobe, desde 2005 a 2009.
La condición común de todos esos agujeros de programación era que no se habían hecho públicas, es decir, que el fabricante no tenía la presión de la opinión pública para repararlos cuanto antes.
Hispasec empleó los datos de iDefense y ZeroDayInitiative, dos empresas dedicadas a comprar vulnerabilidades. Los investigadores privados que encuentran un fallo pueden acudir a ellos a vender los detalles. Una vez pagan por la vulnerabilidad, estas dos empresas informan al fabricante del problema y anuncian el fallo sólo cuando existe parche disponible. Una vez que la vulnerabilidad sale a la luz, tanto iDefense como ZeroDayInitiative publican la cronología de la vulnerabilidad, cuándo fue informado el fabricante, cuándo reconoció el fallo, y cuándo se estableció la fecha en la que ambos harían pública el fallo, que normalmente coincide con el parche.
Con esos datos, Hispasec ha medido el tiempo medio que tardan los gigantes del software en arreglar los fallos que compraron estas empresas, es decir, que no son todos, sino sólo los que les interesaron comprar. La media es de unos seis meses. El que más tarda en arreglar los fallos es Oracle, con 301 días; seguido de Microsoft, 228; HP, 210; y Sun, 184 días.
Hispasec destaca en el caso de HP, que iDefense esperó tres años a que solucionase un fallo, pero HP nunca lo hizo porque se trataba de un producto que ya no apoyaba técnicamente. Al final el fallo se hizo público y sin parche.
En el caso de Apple, soluciona los fallos de seguridad en un tiempo "razonable", incluso arregla antes los que son privados que los que se hacen públicos. Sobre Sun: "Incluso cuando los fallos son conocidos y públicos, puede dejar pasar años hasta que publica su parche oficial. Además un impreciso porcentaje de sus parches producen inestabilidad del sistema".
"El peor parado en este estudio, y no sinrazón", dice Hispasec, "es Oracle. Desde siempre ha tenido serios problemas para administrar la seguridad de sus múltiples productos". En el caso de Microsoft: "Ha mejorado infinitivamente su política de seguridad desde 2004. Aun así sufre tremendos problemas para gestionar el problema de seguridad que acarrea desde sus inicios. Uno de sus fallos tardó en arreglar 1.021 días".
Autor: Javier Martín