Seguridad en cada código: Google establece un nuevo estándar para el mundo de TI

La empresa Google publicó recientemente un documento que muestra sus avances en el marco de la iniciativa Secure by Design. Esta iniciativa, respaldada por la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) y más de 200 empresas, tiene como objetivo garantizar la seguridad en todas las etapas del desarrollo de software.

Google presta especial atención a la autenticación multifactorial (MFA) y ha utilizado soluciones como Google Authenticator y la verificación en dos pasos (2SV) desde 2010. En los últimos años, la empresa ha implementado la autenticación mediante claves de acceso (Passkeys), lo que permite eliminar las contraseñas y mejorar la protección de los usuarios.

Uno de los aspectos clave del programa es la eliminación de vulnerabilidades relacionadas con contraseñas preestablecidas. Los dispositivos y servicios de Google utilizan la autenticación a través de cuentas de Google, lo que reduce el riesgo de acceso no autorizado y elimina la necesidad de usar contraseñas predeterminadas.

Google reduce activamente las clases de vulnerabilidades mediante entornos de desarrollo seguros y sistemas de codificación. La empresa lleva años trabajando en la eliminación de problemas como el scripting entre sitios (XSS) y las inyecciones SQL, y también mejora los métodos relacionados con la criptografía.

Los parches de seguridad juegan un papel importante en la estrategia de Google. Las actualizaciones automáticas en productos como ChromeOS ayudan a los usuarios a evitar amenazas sin necesidad de instalar manualmente los parches.

Un elemento importante del enfoque de Google es la colaboración con expertos de la industria. A través de programas de recompensas, como el Vulnerability Rewards Program (VRP), la empresa ha recibido ayuda de investigadores que han identificado más de 18,500 vulnerabilidades y ha pagado recompensas por un valor aproximado de 59 millones de dólares.

Además, Google utiliza activamente el sistema CVE (Common Vulnerabilities and Exposures) para informar a los usuarios sobre vulnerabilidades críticas y emite boletines de seguridad para Android, Chrome y otros productos.

La empresa también ha implementado mecanismos de detección de intrusiones: Google Workspace y Google Cloud emplean registros de auditoría y herramientas de monitoreo para controlar la actividad y aumentar la transparencia.

El material titulado «Resumen del compromiso de Google con la seguridad mediante el diseño» , publicado por Google, será el primero de una serie de publicaciones en las que la empresa compartirá su experiencia y planes para la futura implementación de la iniciativa Secure by Design.

La empresa invita a sus socios y expertos a unirse a los esfuerzos para garantizar la seguridad digital. Solo a través de la unión de recursos y la coordinación de acciones es posible crear un sistema de seguridad sólido y resistente a los ciberataques.