Por Canuto Microsoft quedó en el centro de una fuerte controversia tras criticar públicamente a un investigador de seguridad que divulgó fallas sin parche y código de explotación, mientras referentes del sector advierten que amenazar con acciones legales podría desalentar futuros reportes de vulnerabilidades.
***
- Microsoft criticó al investigador conocido como Nightmare Eclipse por publicar vulnerabilidades sin coordinar primero su corrección con la compañía.
- La empresa afirmó que algunas fallas fueron usadas en ataques reales, mientras CISA también señaló actividad vinculada a esas vulnerabilidades.
- Veteranos de ciberseguridad, como Katie Moussouris y Kevin Beaumont, cuestionaron el tono legal de Microsoft y alertaron sobre un posible efecto disuasorio.
Microsoft enfrenta críticas de parte de la comunidad de ciberseguridad después de advertir posibles acciones legales contra un investigador que publicó detalles de vulnerabilidades sin parche en varios de sus productos. El caso reabrió una discusión sensible: cómo deben manejarse las fallas críticas cuando el investigador asegura haber tenido problemas para reportarlas por los canales formales.
Según informó TechCrunch, el investigador usa el alias Nightmare Eclipse y difundió una serie de errores junto con código para explotarlos. Entre las fallas mencionadas aparecen BlueHammer, RedSun UnDefend y YellowKey. Algunas afectaban productos de alto uso, como el motor antivirus integrado de Windows, Defender, y la herramienta de cifrado de disco BitLocker.
La controversia creció después de que Microsoft publicara el miércoles una entrada de blog donde criticó la divulgación pública de esas fallas. La compañía sostuvo que el investigador no intentó reportarlas para permitir una corrección previa. En su argumento, ese habría sido el camino “responsable”.
El punto más delicado llegó cuando Microsoft vinculó la publicación de los detalles técnicos con el riesgo de facilitar ataques. La empresa afirmó que algunas de las vulnerabilidades divulgadas por Nightmare Eclipse fueron usadas luego por hackers en ataques reales. La agencia estadounidense de ciberseguridad CISA también señaló ese uso, de acuerdo con la cobertura original.
Un choque sobre divulgación responsable y zero-days
Para lectores menos familiarizados con el tema, una vulnerabilidad zero-day es una falla que el fabricante del software no conoce al momento de su divulgación o explotación. Ese concepto suele generar tensión. Si el defecto se publica antes del parche, usuarios y empresas quedan expuestos, pero si el fabricante ignora o demora el reporte, el investigador puede sentir que la divulgación pública es la única vía de presión.
Microsoft defendió la divulgación coordinada y expresó preocupación por la publicación de exploits. En su blog, la empresa escribió: “Nuestra Digital Crimes Unit continuará presentando casos contra estos actores y contra quienes faciliten su actividad criminal, coordinándose según sea necesario con fuerzas del orden de todo el mundo”. Esa frase encendió alarmas entre investigadores independientes.
La Digital Crimes Unit de Microsoft tiene entre sus funciones proteger a la compañía mediante acciones legales civiles, contramedidas técnicas, derivaciones penales y alianzas público-privadas. Por eso, la mención a esa unidad se interpretó como una advertencia seria. Para muchos investigadores, la línea entre publicar una prueba de concepto y ser acusado de facilitar delitos puede volverse peligrosa.
Nightmare Eclipse, por su parte, publicó una serie de blogs durante las últimas dos semanas. En ellos afirmó haber estado en contacto con Microsoft, aunque no ofreció demasiados detalles específicos. También aseguró que la compañía lo habría maltratado y que incluso le revocó el acceso a su cuenta del Microsoft Security Response Center, el portal usado para reportar vulnerabilidades.
La implicación del investigador fue clara: según su relato, se quedó sin una vía funcional para reportar los errores de manera privada. Luego difundió las vulnerabilidades en repositorios de código abierto alojados en GitHub, propiedad de Microsoft, y en GitLab. Las cuentas de los investigadores en esas plataformas fueron bloqueadas.
Críticas de veteranos de la ciberseguridad
La disputa no quedó limitada a Microsoft y Nightmare Eclipse. Numerosos investigadores compartieron experiencias negativas al intentar reportar errores a la compañía. Ese malestar apunta a un problema más amplio: la confianza entre fabricantes de software y especialistas externos que encuentran fallas antes que los atacantes.
Katie Moussouris, fundadora de Luta Security, criticó con dureza el enfoque de Microsoft. Ella trabajó en la empresa durante la segunda mitad de la década de 2000 y fue una figura clave en el impulso de los programas de recompensas por errores. También ayudó a desplazar el concepto de “divulgación responsable” hacia el de “divulgación coordinada”.
“Invocar el término divulgación ‘responsable’ fue el primer strike en mi libro”, dijo Moussouris a TechCrunch. Luego agregó que “añadir una amenaza de procesamiento al mencionar [Digital Crimes Unit] fue excesivo, y solo resultará en que los investigadores de seguridad desconfíen de Microsoft”.
Su advertencia central fue el posible efecto disuasorio. Si los investigadores sienten que reportar fallas puede derivar en amenazas legales, podrían elegir no acercarse a Microsoft. En palabras de Moussouris, eso haría el ecosistema “menos seguro para todos nosotros”.
Kevin Beaumont, investigador de seguridad y exempleado de Microsoft, también cuestionó la postura de la compañía. En una entrada de blog describió la posición de Microsoft como un “incendio de contenedor de basura de su propia creación”. Su crítica se enfocó en la idea de criminalizar la creación o distribución de exploits de prueba de concepto para zero-days.
Beaumont escribió: “…¿La creación y distribución de exploits de prueba de concepto para zero-days ahora es ‘actividad criminal’?”. También sostuvo que la divulgación responsable muchas veces se plantea para proteger al dueño del producto y no al cliente. Para él, usar ese marco con fines penales marca “un nuevo punto bajo”.
Por qué este debate importa más allá de Microsoft
El caso también importa para sectores como cripto, blockchain e inteligencia artificial. En esos ecosistemas, los investigadores externos suelen descubrir errores en contratos inteligentes, billeteras, puentes, modelos, APIs y servicios críticos. La forma en que las grandes tecnológicas tratan a quienes reportan fallas influye en la cultura de seguridad de toda la industria digital.
Durante años, los investigadores defendieron el principio de que su trabajo debía ser remunerado. La campaña “No More Free Bugs”, lanzada en 2009, resumió esa demanda. Hoy, muchas compañías operan programas de bug bounty que pagan recompensas, a veces de seis cifras o más, por reportes privados y coordinados.
Sin embargo, la existencia de recompensas no elimina los conflictos. Los desacuerdos pueden aparecer cuando una empresa rechaza un reporte, demora una corrección, revoca accesos o impone condiciones que el investigador considera injustas. En esos casos, la divulgación pública aparece como una herramienta de presión, aunque también puede aumentar el riesgo para los usuarios.
Microsoft y Nightmare Eclipse no respondieron a solicitudes de comentarios, según la información disponible. Esa ausencia deja varias preguntas abiertas. No queda claro qué comunicaciones ocurrieron entre ambas partes, qué razones específicas tuvo Microsoft para bloquear cuentas, ni qué intentos concretos hizo el investigador antes de publicar el material.
La tensión central sigue sin resolverse. Las empresas necesitan tiempo para corregir fallas y proteger a sus clientes. Los investigadores, en cambio, necesitan canales confiables, trato justo y garantías de que no serán castigados por encontrar problemas reales.
El episodio muestra que la seguridad moderna depende tanto de la tecnología como de la confianza. Si esa confianza se rompe, los errores no desaparecen. Solo cambian de manos, y eso puede favorecer a los actores maliciosos que la industria intenta frenar.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Microsoft impulsa windows reactor y promete ui nativa en rust más ligera que c#
Capital de Riesgo
Yann LeCun reta a los LLM con AMI Labs y una ronda semilla récord de USD $1.030 millones
Estados Unidos
OpenAI lanza Rosalind Biodefense para reforzar la preparación ante amenazas biológicas
Criptomonedas