Barrapunto

///Pero el problema que existirá es el lapso que pase entre el descubrimiento de un determinado error y el exploit que se aproveche de ese error. Ese tiempo es crítico, y en muchos casos ten pequeño que queda reducido a cero días, en el caso de los “zero day exploits”. Aquí la capacidad de reacción es fundamental, y los sistemas de defensa contra vulnerabilidades se convertirán en piezas fundamentales de la política de seguridad de cualquier empresa mínimamente preocupada.///

> La seguridad no esta en que los bugs sean corregidos lo antes posible despues de su anuncio

Peor aún. Creo que Baquía - o quien haya escrito el artículo - tiene un error de concepto. Un "zero day exploit" NO quiere decir que entre el descubrimiento del error y la programación del exploit hayan pasado menos de 24h. Un 0day exploit puede haberse programado/conseguido días después del bug y seguir siendo un 0day exploit si realmente sólo han pasado 24h (más o menos) desde la creación del propio exploit hasta su publicación (los 0day exploits suelen tener una publicación restringida, salvo algunos que caen en reconocidas webs como milw0rm [milw0rm.com]....) Normalmente además, suele tratarse del primer exploir programado para esa vulnerabilidad en concreto. Además, normalmente, entre la detección de la vulnerabilidad (o por lo menos su publicación "full disclosure") y la primeras "pruebas de concepto" suelen pasar bastantes más de 24h por lo que la acepción de un 0day exploit de Baquía es doblemente incorrecta.

Just my 2 cents.