Microsoft amenaza con investigación criminal a investigador de seguridad
La empresa publicó un comunicado contra 'Nightmare Eclipse' por divulgar vulnerabilidades sin notificación previa, reabriendo el debate sobre divulgación responsable.
Microsoft publicó un comunicado esta semana criticando al investigador de seguridad conocido como 'Nightmare Eclipse' por divulgar públicamente vulnerabilidades no parcheadas en varios productos de la compañía sin notificarla primero. Las fallas afectan a Defender, BitLocker, BlueHammer, RedSun, UnDefend y YellowKey. Algunas ya fueron explotadas en ataques reales.
La posición de Microsoft es clara: la divulgación responsable implica avisar antes de publicar. Su Unidad de Crímenes Digitales no anduvo con rodeos. "Nuestra Unidad de Crímenes Digitales continuará llevando casos contra estos actores y quienes faciliten su actividad criminal, coordinando cuando sea necesario con fuerzas del orden en todo el mundo", escribió la empresa en el comunicado. Nada ambiguo ahí.
Nightmare Eclipse, por su parte, alega un trato distinto. Según su versión, Microsoft revocó su acceso al Centro de Respuesta de Seguridad de la compañía, el canal oficial donde los investigadores reportan fallas. Sin ese acceso, el camino de la notificación privada queda efectivamente bloqueado. O al menos esa es la versión del investigador.
El conflicto reactiva una discusión que la industria de seguridad informática lleva décadas sin resolver del todo: ¿qué le deben los investigadores independientes a las corporaciones cuyos productos analizan? Microsoft defiende que la notificación previa es condición básica de la divulgación responsable. Algunos investigadores responden que esa misma notificación se convierte, en la práctica, en una herramienta para que las empresas retrasen parches mientras mantienen a los usuarios expuestos.
El historial de cómo las empresas responden a reportes privados no siempre les da la razón a las corporaciones. Hay casos documentados de compañías que ignoraron advertencias durante meses, o que solo actuaron cuando la presión pública se volvió insostenible. La divulgación pública, en ese contexto, funciona como un mecanismo de accountability que las notificaciones privadas no garantizan.
Dicho esto, el caso de Nightmare Eclipse tiene una arista distinta: algunas de las vulnerabilidades divulgadas ya fueron aprovechadas en ataques reales antes de que Microsoft emitiera parches. Eso cambia el cálculo moral. No es lo mismo publicar una falla técnica teórica que detallar un exploit activo que los atacantes están usando mientras los usuarios esperan una actualización.
Microsoft no especificó si planea iniciar acciones legales concretas o si el comunicado es principalmente una advertencia pública. La retórica de la Unidad de Crímenes Digitales sugiere lo primero, pero los plazos y mecanismos legales para perseguir a investigadores de seguridad en jurisdicciones distintas son complejos y costosos.
El debate tiene consecuencias prácticas para el ecosistema de seguridad informática. Si los investigadores independientes perciben que reportar fallas a las empresas los expone a represalias legales, el incentivo lógico es no reportar nada. Eso no beneficia a nadie, salvo a quienes prefieren que las vulnerabilidades queden sin documentar.
Por ahora, Nightmare Eclipse no ha respondido públicamente a la amenaza de investigación criminal. Microsoft, de su lado, no ha publicado plazos para los parches pendientes de los productos afectados. Los usuarios de Defender, BitLocker y los demás productos mencionados siguen expuestos mientras la disputa se desarrolla en comunicados corporativos.