Google publica exploit de vulnerabilidad en Chromium antes de que esté parcheada

Publicar exploit code antes del patch disponible es una decisión polémica en cualquier contexto, pero que Google lo haga con su propio proyecto (Chromium) después de 42 meses desde el reporte inicial es particularmente llamativo. La política de disclosure de Google suele ser estricta: 90 días para vendors externos, menos tolerancia para bugs críticos.

Que se apliquen un estándar más laxo a sí mismos plantea preguntas sobre conflictos de interés en responsible disclosure. Chromium es la base de Chrome, Edge, Brave, Opera — la mayoría del tráfico web global. Un exploit público sin patch pone en riesgo a usuarios finales que no tienen forma de mitigar más allá de esperar updates.

La defensa típica es "transparency over security through obscurity", y es válida en principio. Pero 42 meses no es obscurity, es negligencia. Si Google no puede parchear su propio browser en tres años y medio, ¿qué dice eso sobre la sostenibilidad de proyectos open source críticos? El incidente refuerza el patrón: infraestructura esencial mantenida con recursos insuficientes, timelines que no escalan, y usuarios finales como beta testers involuntarios.