Redazione RHC : 17 septiembre 2025 10:45
Google ha cambiado su estrategia de actualizaciones de seguridad para Android, rompiendo su tradición de divulgar vulnerabilidades mensualmente por primera vez en una década. En su boletín de julio de 2025, la compañía no reportó ninguna vulnerabilidad, la primera vez en 120 publicaciones. Sin embargo, en septiembre, la lista incluyó 119 correcciones a la vez.
La razón no es que julio fuera «seguro», sino que Google está adoptando un nuevo modelo de Sistema de Actualización Basado en Riesgos (RBUS). Ahora, las actualizaciones mensuales solo contendrán correcciones para vulnerabilidades de «alto riesgo», es decir, aquellas explotadas activamente o que forman parte de cadenas de ataque conocidas. Las vulnerabilidades restantes se agruparán en publicaciones trimestrales principales: en marzo, junio, septiembre y diciembre. La compañía enfatiza que este enfoque simplificará el trabajo de los fabricantes de smartphones. Tendrán que integrar menos parches en las actualizaciones mensuales, lo que aumentará la probabilidad de su lanzamiento oportuno. Al mismo tiempo, los fabricantes podrán centrarse en actualizaciones trimestrales más extensas, que se convertirán en el canal principal para distribuir la mayoría de las correcciones.
Google enfatiza que anteriormente, muchas empresas limitaban las actualizaciones de seguridad a una frecuencia bimestral o trimestral, especialmente para los modelos más económicos. El nuevo calendario debería ayudar a uniformar la implementación y garantizar que los dispositivos estén protegidos al menos trimestralmente.
El ciclo tradicional de gestión de vulnerabilidades se mantiene igual. Los investigadores informan de los problemas detectados, Google los confirma y les asigna identificadores CVE. Los ingenieros desarrollan una solución y, si la vulnerabilidad es crítica y afecta a los componentes de Project Mainline, la actualización se puede distribuir directamente a través de la Actualización del Sistema de Google Play
El Boletín de Seguridad de Android, disponible tanto en versión pública como privada, sigue siendo un elemento clave. Este boletín se envía a los proveedores 30 días antes de su publicación para darles tiempo de probar los parches. Este período será ahora más largo para las versiones trimestrales, lo que genera preocupación entre los desarrolladores externos.
Por lo tanto, los representantes de GrapheneOS advierten: cuanto mayor sea el intervalo entre la distribución y la publicación, mayor será el riesgo de que se filtre información sobre vulnerabilidades que puedan ser explotadas por atacantes. Aunque, por ahora, esto sigue siendo una amenaza hipotética.
Otra desventaja del nuevo proceso es que el código fuente del parche ahora solo se publica para las actualizaciones trimestrales.
Esto complica aún más las cosas para la comunidad de ROMs personalizadas, que ya no podrá incluir parches mensuales de forma oportuna.
A pesar de los cambios, Google asegura que los usuarios cuyos dispositivos ya reciben actualizaciones mensuales seguirán recibiéndolas. Para otros, la transición a RBUS debería mejorar la previsibilidad y la frecuencia de las actualizaciones. «Android y Pixel corrigen vulnerabilidades mensualmente, pero siempre priorizamos las más riesgosas», declaró un portavoz de la compañía.
RedazioneEn uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
