Microsoft amenaza con cargos penales a investigador de seguridad que publicó exploit

Un investigador de seguridad que opera bajo el seudónimo Nightmare Eclipse publicó código de prueba de concepto para una vulnerabilidad zero-day, y Microsoft respondió con lo que la industria ya está leyendo como una amenaza velada de acción penal. La empresa deshabilitó sus cuentas en GitHub, GitLab y en el propio Centro de Respuesta de Seguridad de Microsoft (MSRC), la plataforma oficial que se supone existe para recibir exactamente este tipo de reportes.

Lo que vino después fue, digamos, llamativo. Microsoft acusó al investigador de no seguir procedimientos de divulgación "adecuados" y dejó entrever consecuencias legales. La empresa no publicó detalles técnicos del incidente, lo que es habitual en estos casos, pero sí dejó claro su descontento con la publicación del exploit antes de un parche disponible.

El investigador de ciberseguridad Kevin Beaumont señaló el problema de fondo con una frase que no deja mucho margen de interpretación: "Es bastante difícil reportar responsablemente vulnerabilidades futuras cuando te han prohibido la cuenta". La ironía es gruesa. Microsoft construyó un canal oficial para recibir reportes de seguridad, y luego cerró ese canal para alguien que reportó algo que no les gustó cómo manejaron.

Pero el argumento más incómodo lo articuló también Beaumont: Microsoft ha contratado históricamente a personas que hicieron exactamente lo mismo que ahora castigan. Investigadores que publicaron exploits zero-day públicamente. Algunos con antecedentes penales por actividades de hackeo. La empresa también ha comprado vulnerabilidades de intermediarios comerciales, que no son precisamente el modelo de divulgación responsable que ahora exige.

El estándar de "divulgación responsable" o "coordinated vulnerability disclosure" es, en teoría, sencillo: el investigador reporta la vulnerabilidad al fabricante, el fabricante tiene un plazo razonable para parchear (generalmente 90 días, según el modelo de Google Project Zero), y después el investigador puede publicar. El problema es que ese proceso depende de que el fabricante efectivamente reciba el reporte, lo procese y actúe. Cuando el canal de reporte está cerrado para vos, el proceso se rompe antes de empezar.

Lo que está en disputa acá no es si publicar exploits sin parche disponible es una buena práctica. Generalmente no lo es. Lo que está en disputa es si Microsoft tiene autoridad moral para dictar los términos de la divulgación cuando su propio historial de emplear a hackers y comprar exploits en mercados grises sugiere que los estándares son selectivos.

Beaumont advirtió que si Microsoft intenta criminalizar el incumplimiento de sus marcos de divulgación, enfrentaría dificultades considerables en los tribunales dado ese historial. No es un argumento legal formal, pero es el tipo de observación que un abogado defensor agradecería tener disponible.

La tensión entre empresas tecnológicas e investigadores de seguridad no es nueva. Las compañías quieren control sobre el ciclo de divulgación porque un exploit publicado antes de un parche les crea un problema inmediato de relaciones públicas y de seguridad real para sus usuarios. Los investigadores argumentan que los plazos indefinidos y la posibilidad de bloqueo les dejan sin incentivos para reportar responsablemente en primer lugar.

El caso de Nightmare Eclipse suma un elemento adicional: la amenaza penal. Si una empresa puede responder a la publicación de un exploit con acciones legales, el cálculo cambia para todos los investigadores independientes, especialmente los que no tienen respaldo institucional ni recursos para litigar. El efecto disuasivo no sería sobre la divulgación irresponsable sino sobre la divulgación en general.

Microsoft no publicó una respuesta detallada sobre las amenazas legales ni sobre las cuentas deshabilitadas. La empresa tiene una política de no comentar casos individuales de seguridad mientras están activos. Lo que sí quedó registrado es la secuencia: reporte, disputa, deshabilitación de cuentas, amenaza legal.

La pregunta que queda abierta es si esto sirve como advertencia para otros investigadores o si termina siendo contraproducente para una empresa que depende, en parte, de que la comunidad de seguridad reporte sus vulnerabilidades antes de que las exploten actores maliciosos.