“No creemos que las recompensas por encontrar errores sean el mejor modo de compensar a los investigadores”, opina Mike Reavey, director del Centro de Respuesta de Seguridad de Microsoft (MSRC), acerca de los recientes anuncios de Google y Mozilla de aumentar la cantidad de dinero que pagan a los investigadores externos que les informan de fallos en sus aplicaciones. “No todos los investigadores están motivados por cuestiones financieras”, apostilla diciendo que Microsoft les compensa de otro modo, como las conferencias que patrocina o las oportunidades de empleo que les brinda como proveedores o empleados de su equipo de seguridad.

En referencia a las aportaciones de estos expertos, Microsoft propone que, en lugar de “divulgación responsable”, un término que implica que el investigador reporta la vulnerabilidad y espera a que el fabricante la parchee antes de hacer pública la noticia del error, la comunidad utilice “divulgación de vulnerabilidades coordinada” o CVD, por sus siglas en inglés. Aunque sólo se trata de un cambio de nombre, “queremos hacer lo que mejor funcione para minimizar el riesgo de nuestros clientes y eliminar la emoción, que no ayuda a nadie”, añade el director del MSRC.

Reavey dice que el término “divulgación responsable” es obvio, dado que cualquiera que no siga los pasos para informar de una brecha, haciendo públicos los detalles o el código de ataque antes de que esté listo el parche, es, por implicación, etiquetado de “irresponsable”.

Microsoft insiste en querer mantener las líneas abiertas entre la compañía y los investigadores en seguridad. “Queremos ser más claros sobre nuestra filosofía por lo que en primer lugar, apreciaremos los avisos, incluso si el investigador hace una “divulgación total”, apunta Reavey. “Y en segundo lugar, y así es como hemos operado hasta ahora, si una vulnerabilidad se encuentra bajo ataque, daremos información y recomendaciones”.

Google también ha publicado esta semana lo que llama Rebooting Responsable Disclosure, una propuesta que incluye, entre otros elementos, un límite de 60 días para parchear el problema, pero con la que Microsoft no está de acuerdo. “No creo que lo que vale para uno valga para todos. Si la actualización no funciona, no protegerá a nadie”, apunta Reavey. Microsoft procura solucionar las brechas lo más rápido posible, pero probar la calidad de una actualización es tan crítico como parchear. Lanzar un parche, explica Reavy, puede tener un gran impacto en los usuarios de Windows, que a menudo aplican las actualizaciones sin probarlas ellos mismos.

Las propuestas de Microsoft y Google son la respuesta a la acalorada discusión entre investigadores y suministradores sobre divulgación surgida, en parte, por el incidente ocurrido a principios de junio cuando un investigador de Google hizo público un agujero crítico en Windows cinco días después de comunicarlo a Microsoft.