El equipo de seguridad Project Zero de Google tiene un historial impresionante en lo que respecta a perseguir y abordar las fallas de seguridad más críticas encontradas. Son incansables en su trabajo, que les ha ahorrado incontables miles de millones de dólares y ha obstaculizado los esfuerzos de los hackers de todo el mundo.

Sin embargo, el equipo ha recopilado algunas estadísticas bastante impactantes, incluida esta reveladora:

Según su investigación, una cuarta parte de los exploits de Zero Day que se descubren en uso en la naturaleza podrían haberse evitado por completo si los proveedores y administradores de TI hubieran parcheado adecuadamente sus productos.

En el transcurso de 2020, el equipo detectó un total de 24 exploits de Zero Day. Seis de ellos eran variaciones sobre un tema; vulnerabilidades reveladas en años anteriores, donde los hackers tenían acceso a informes de errores más antiguos y tenían mucho tiempo para estudiar problemas más antiguos, haciendo algunos ajustes simples y terminando con un nuevo exploit de Zero Day.

Por ejemplo, CVE-2020-0674, que es una falla de Internet Explorer de Zero Day, es una variante que combina elementos de CVE-2018-8653, CVE-2019-1367 y CVE-20191429.

En una línea similar, la devastadora falla de Google Chrome rastreada como CVE-2020-6572 es una variante que combina elementos de CVE-2019-5870 y CVE-2019-13695. El problema de Zero Day de Apple Safari rastreado como CVE-2020-27930 es prácticamente idéntico al descubierto en 2015 y rastreado como CVE-2015-0093.

Por un lado, esta noticia es bastante deprimente, ya que parece que muchos en la profesión de seguridad de TI parecen estar haciendo las cosas más difíciles para sí mismos de lo necesario. Por otro lado, como observó Maddie Stone, miembro del equipo de Project Zero, este tipo de ideas son la razón exacta por la que se formó el equipo para empezar.

Al identificar y eliminar cuidadosamente las fallas más evidentes y graves y recopilar estadísticas y datos sobre ellas, la esperanza es hacerlas cada vez más difíciles de aprovechar para los hackers de todo el mundo en los próximos años. Hasta ahora, ese enfoque parece estar funcionando. Felicitaciones a Google y al equipo de Zero Day.