Project Zero o Proyecto Cero por su traducción al español, es un equipo de analistas e investigadores de Google cuyo objetivo es descubrir los famosos ataques de día cero, o “zero day”, que para muchos expertos son uno de los problemas más graves en seguridad digital que existen en la actualidad.
Un ataque de día cero es llamado así porque hace referencia al tiempo que tardan los desarrolladores o empresas en darse cuenta de una vulnerabilidad, es decir, un ataque de día cero es aquel que no ha sido descubierto, y una vez que se descubre o hace público deja de ser un ataque de día cero.
Respecto al día cero tenemos que entender que no es lo mismo una vulnerabilidad que un exploit de día cero, y entre ambas hay una diferencia importante que debemos tener muy clara. En el caso de la vulnerabilidad de día cero es aquella brecha de seguridad que encontramos en algún producto, pero que aún no ha sido aprovechada, por otra parte, el exploit de día cero se aprovecha de esta vulnerabilidad para instalar malware en un dispositivo.
Project Zero, cuyo nombre hace referencia a las vulnerabilidades de día cero tiene el claro objetivo de descubrir estas brechas de seguridad y comunicarlas a las empresas y desarrolladores para que sean solucionadas antes de que se aproveche algún exploit, sin embargo, Project Zero también ha descubierto exploits de día cero que han sido solucionados tiempo después por las compañías en cuestión, aunque aquí el daño ya está hecho.
Respecto a la búsqueda y reporte de estas vulnerabilidades, el equipo de Project Zero estableció que una vez descubiertos los fallos, estos son reportados a cada empresa, y serán publicados 90 días después de su descubrimiento, esto a pesar de que el fabricante afectado aún no haya lanzado un parche de seguridad ante esta situación, pues de esta manera Google aprovecha algo que han definido como “revelación responsable”, con lo que cada usuario podrá tomar las medidas necesarias para evitar un exploit de día cero.
De hecho, hace un par de días Google hizo pública una vulnerabilidad de día cero descubierta por su equipo de especialistas que afectaba a Microsoft Edge cuando la empresa de Redmond aún no había podido solucionar dicha falla, sin embargo, la compañía de Mountain View argumentó que esta brecha de seguridad había sido informada a Microsoft desde noviembre del 2017, por lo que según su política de “revelación responsable”, estaban obligados a liberar la información.
En 2016 Google hizo lo mismo con Microsoft cuando la empresa tardó más de 90 días en lanzar un parche de seguridad en Windows 10, e incluso Microsoft acusó a Google de afectar la seguridad de varios usuarios que usaban este sistema operativo.
Project Zero ha descubierto errores en productos que almacenan información sensible como LastPass, incluso Microsoft es una de las empresas donde constantemente se han encontrado fallos. Pero uno de los descubrimientos más importantes fue el de Meltdown y Spectre, dos vulnerabilidades que afectan la mayoría de las computadoras en el mundo, y que desde su publicación ha sido un dolor de cabeza para los diversos fabricantes, que incluso han mencionado que no hay una solución total a este problema, pero que esta falla dejará de existir cuando lancen procesadores nuevos con cambios en su arquitectura.
Meltdown y Spectre fueron descubiertas en conjunto con algunas universidades en los Estados Unidos, pero el equipo de Project Zero fue quien lideró el proyecto que descubrió lo que es catalogado como la vulnerabilidad más grande de toda la historia hasta el día de hoy.