Conflicto IBM-Google muestra que la vulnerabilidad #1 es la ignorancia
Email
| 
¿Desea imprimir?
Regístrese ahora
Uno pensaría que una organización dedicada a presentar listas de vulnerabilidades de seguridad que se les han escapado a los fabricantes de software –errores críticos y de alto riesgo no parchados– debería ser infaltablemente rigurosa en sus procedimientos y políticas al compilar y distribuir esa información.
Uno pensaría que antes de coronarse a sí misma con un nombre como “X-Force Team”, dicha organización debería haber sido brutalmente meticulosa en evitar usar y publicar información incompleta, métodos imprecisos y todo lo demás que condujera a resultados inexactos.
Uno pensaría que una potencia IT global con la reputación de IBM, con sus recursos y credibilidad, jamás habría pensado en meterse en un asunto de tan alto perfil y elevados riesgos, a menos que todos sus procedimientos, de cabo a rabo, fueran por completo transparentes y exentos de dudas, conjeturas y malas interpretaciones.
Pero si ha pensado lo anterior, está usted errado, errado y errado.
Resulta que el X-Force Team de IBM parece que ha llevado a cabo su trabajo sin otra cosa que la mejor de las intenciones, pero sus procedimientos al compilar las listas de aquellos fabricantes de software que han dejado escapar el mayor número de vulnerabilidades están plagados de fallas y deficiencias —que bien podemos llamar vulnerabilidades.
Todo esto salió a la luz la primera semana de septiembre, luego que la lista del primer semestre del año con las compañías de software más vulnerable, compilada por X-Force Team, apareció con Google en el primer lugar con un feo resultado de 33% de vulnerabilidades críticas y de alto riesgo sin parchar. Todo CIO que haya visto la lista se estará preguntando qué diablos pasa con Google y se habrá propuesto reevaluar si es sensato ampliar sus compromisos con el software de dicha empresa.
Pero como nuestra colega Kelly Jackson Higgins, de nuestro sitio hermano Dark Reading, resulta que los resultados de X-Force Team referentes a Google están por completo disparatados y que en vez de no haber parchado plenamente más que un tercio de sus vulnerabilidades, Google, por principio de cuentas, ¡tiene en realidad absolutamente cero errores críticos y de alto riesgo!
Pero, por desgracia, la historia se pone peor.
Según lo que he encontrado, más preocupante que esa embarazosa metida de pata –errar, al fin y al cabo, es humano– son los bastante frívolos comentarios del X-Force Team de IBM al decir que bueno, sí, nuestros métodos de capturar los datos no eran exactamente de primerísimo orden y, desde luego, somos conscientes de que la falta de estándares contribuyeron a que este trabajo y nuestros resultados fueran nebulosos.
Más aún, X-Force ha decidido depurar casi cada uno de sus procesos, de acuerdo con un blog del gerente de X-Force Research, Tom Cross, que Jackson Higgins cita en su artículo:
“Como consecuencia de esta ‘retraoalimentación’ hemos revisado manualmente loa puntuación CVSS [Common Vulnerability Scoring System /sistema común de califación de vulnerabilidades], hemos remediado la información y los datos de los fabricantes acerca de cada vulnerabilidad que impacta los porcentajes que aparecen en esta gráfica”, decía Cross en su blog.
Como dicen, salvo por esto, la gráfica está perfecta.
