Las amenazas legales de Microsoft al investigador han generado inquietud en la comunidad de ciberseguridad. (Europa Press)Microsoft ha amenazado con acciones legales a un investigador conocido como ‘Nightmare Eclipse’ tras la publicación de fallos de seguridad no corregidos en productos clave de Windows y la difusión de código para explotarlos. La postura de la compañía ha reavivado el debate sobre los límites y la responsabilidad de quienes descubren vulnerabilidades en sistemas de grandes empresas tecnológicas.El miércoles 27 de mayo, Microsoft publicó una entrada en su blog oficial criticando a Nightmare Eclipse por hacer públicos varios fallos, entre ellos BlueHammer, RedSun, UnDefend y YellowKey. Estas vulnerabilidades afectan componentes esenciales del sistema operativo, como el antivirus integrado Defender y la herramienta de cifrado de disco BitLocker. La compañía sostiene que el investigador no intentó reportar los errores para que pudieran ser solucionados, lo que —según la posición oficial— habría sido lo “responsable”.PUBLICIDADEn el mismo comunicado, el gigante tecnológico advirtió que la publicación anticipada de los detalles técnicos y del código de explotación antes de que existieran parches podría haber facilitado ataques reales. Según la compañía y la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA), algunos de los fallos revelados por Nightmare Eclipse ya se han utilizado en incidentes registrados.Nightmare Eclipse publicó fallos sin corregir en productos clave de Windows, incluidos Defender y BitLocker. (Europa Press)“Nuestra Unidad de Crímenes Digitales continuará llevando casos contra estos actores y quienes faciliten su actividad criminal, coordinando según sea necesario con las fuerzas de seguridad en todo el mundo”, indicó Microsoft en su blog. Esta unidad se encarga de proteger a la empresa con estrategias legales, técnicas y alianzas público-privadas.PUBLICIDADNightmare Eclipse ha relatado en varias publicaciones recientes que intentó contactar con Microsoft, pero asegura haber sido maltratado por la empresa, que incluso le revocó el acceso al Microsoft Security Response Center, el portal oficial para reportar vulnerabilidades.El investigador argumenta que no tuvo alternativa más que divulgar los fallos de forma pública, convirtiéndolos en “zero days”, es decir, vulnerabilidades desconocidas para el fabricante en el momento de hacerse públicas.PUBLICIDADLos exploits y detalles técnicos fueron compartidos en repositorios abiertos como GitHub y GitLab. Ambas cuentas han sido bloqueadas.Microsoft sostiene que la divulgación pública de los errores facilitó ataques reales, según su blog oficial. (Europa Press)Este episodio revive una discusión de fondo en la industria de la ciberseguridad: ¿Hasta dónde llega la obligación de los investigadores independientes de notificar fallos y asegurar que se solucionen? La cuestión de la remuneración por este tipo de trabajos se resolvió en gran medida a partir de la campaña “No More Free Bugs” de 2009. Actualmente, la mayoría de empresas —incluida Microsoft— recompensa económicamente a quienes reportan vulnerabilidades y acuerdan la publicación de detalles solo después de corregirlas.PUBLICIDADEn el caso de Nightmare Eclipse, numerosos investigadores han compartido públicamente experiencias negativas al reportar errores en los productos de Microsoft. El descontento con la postura de la empresa ha sido notorio en foros especializados y redes sociales.Katie Moussouris, fundadora de Luta Security y pionera en la creación de programas de recompensas durante su paso por Microsoft, criticó abiertamente la reacción de la compañía. “Invocar el término ‘responsable’ divulgación fue el primer error a mi juicio. Añadir la amenaza de enjuiciamiento mencionando la Digital Crimes Unit fue excesivo y solo logrará que los investigadores desconfíen de Microsoft”, declaró Moussouris a TechCrunch.PUBLICIDADMoussouris advirtió que el efecto de perder la confianza de los expertos podría traducirse en menos reportes de fallos, “lo que nos haría menos seguros a todos”.La polémica reabre el debate sobre la obligación de los investigadores de notificar vulnerabilidades a las grandes tecnológicas. (Imagen Ilustrativa Infobae)La polémica ha generado reacciones contundentes en la comunidad. Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft, calificó la posición de la empresa como “un desastre provocado por ellos mismos” en su propio blog. Beaumont cuestionó que crear y difundir pruebas de concepto de exploits para “zero days” pueda considerarse “actividad criminal”, y opinó que el enfoque de “divulgación responsable” suele proteger más a los fabricantes que a los usuarios.PUBLICIDADEl caso pone en relieve las tensiones entre las grandes tecnológicas y la comunidad de ciberseguridad independiente. Mientras Microsoft defiende su derecho a proteger su infraestructura y clientes, los investigadores reclaman un trato justo, reconocimiento económico y garantías de que sus aportaciones conducirán a sistemas más seguros.El desenlace de este conflicto podría influir en la manera en que otras empresas gestionan la colaboración y el diálogo con quienes descubren fallos en sus plataformas, así como en la motivación de los expertos para seguir reportando vulnerabilidades de manera privada.PUBLICIDAD