Google ha empezado la semana con una noticia que nos ha dejado atónitos, y aunque hoy es el día G, o el Google Day porque la empresa presenta su nueva familia de dispositivos, tenemos que analizar todo lo sucedido ayer con el anuncio del bug que expuso datos de miles de usuarios y el cierre de Google+ por este mismo suceso.
El problema: Google nunca notificó a los usuarios sobre el bug de seguridad
Desafortunadamente tuvimos que enterarnos a través del The Wall Street Journal sobre el fallo de seguridad que permitía a terceros acceder a la información personal de los perfiles de usuarios en Google+, pero lo peor no es eso, o que este bug se haya podido explotar durante tres años (2015 – 2018), lo peor es que la empresa decidió no comentar nada al respecto por “miedo” a una regulación por parte de los Estados Unidos.
Según la fuente, así se declaraba en un correo electrónico enviado a los altos ejecutivos de Alphabet, pero Google no tuvo de otra más que aceptar el error después de la publicación del reputado medio norteamericano.
Sin embargo, Google menciona que los motivos expuestos por el The Wall Street Journal no son reales, es decir, que no avisaron a los usuarios sobre este problema debido a que no hay pruebas ni sospechas de que algún desarrollador tuviera conocimiento del bug, y que mucho menos hay información que sugiera que se aprovecharon de los datos de los usuarios.
Por otro lado, Google mencionó que no podía identificar a los usuarios afectados, por lo que sumado a lo anterior no creyó necesario notificar a los usuarios del problema.
Nace Project Strobe
Project Strobe es el nuevo proyecto de Google con el que busca mejorar la seguridad de sus clientes, y parte de los lineamientos de este proyecto es la razón por la cual la empresa no avisó sobre el problema a los afectados. El proyecto nació a principios de 2018, y revisará el acceso a nuestros datos que pueden tener terceros con aplicaciones o productos, tanto en Android como en los servicios de Google, es decir, todos los servicios donde nos logueamos con nuestra cuenta de Gmail.
Google no tuvo más remedio que presentar Project Strobe el día de ayer después de la publicación del The Wall Street Journal, mencionando que con este tendremos mayor control sobre los datos que se comparten con apps de terceros, además de que ahora podremos dar permisos específicos a un servicio tal y como pasas con las aplicaciones en Android.
Y después de toda la polémica con los correos que Google y terceros leen de Gmail, la empresa ha mencionado que solo permitirá que las apps con funcionalidad de correo sean las únicas con este permiso, por lo que esta sin duda es una decisión que debemos aplaudir.
Tapando el sol con un dedo
Es gracioso como la víctima de este suceso fue Google+, que se anunció que será cerrado en agosto de 2019, pues conlleva un enorme esfuerzo mantener el servicio, sobre todo en el de seguridad, motivo por el cual Google ya no le ve mucho caso invertir recursos en él, sobre todo porque Google+ no es una red social muy popular y utilizada.
Y es que después de que se dio a conocer el suceso del bug en Google+, la empresa anunció las mejoras en seguridad y privacidad, intentando evitar a toda costa lo relacionado con el problema de Google+.
Aplaudimos que Google haya creado un proyecto como Strobe, que si me apuran debería haber nacido antes, pero me preocupa más que la compañía no tenga un dato concreto sobre los afectados, y que tampoco estén completamente seguros de que los datos no fueron mal utilizados, pues según las estimaciones de Google, medio millón de cuentas podrían haberse visto afectadas, y 438 aplicaciones usaron el API con la vulnerabilidad.
La pregunta es, ¿aplaudimos por la creación de Project Strobe, o nos preocupamos por las maneras en las que nos enteramos de este tipo de situaciones? ¿Tienen las empresas la obligación de guardar este tipo de secretos para no alertar a posibles crackers?, si es así entonces por qué Google alertó sobre el fallo en el instalador de Fortnite antes de que Epic Games pudiera arreglarlo, poniendo en riesgo la seguridad de miles de usuarios en el mundo.