Microsoft ha amenazado con acciones legales a un investigador conocido como ‘Nightmare Eclipse’ tras la publicación de fallos de seguridad no corregidos en productos clave de Windows y la difusión de código para explotarlos. La postura de la compañía ha reavivado el debate sobre los límites y la responsabilidad de quienes descubren vulnerabilidades en sistemas de grandes empresas tecnológicas.
El miércoles 27 de mayo, Microsoft publicó una entrada en su blog oficial criticando a Nightmare Eclipse por hacer públicos varios fallos, entre ellos BlueHammer, RedSun, UnDefend y YellowKey. Estas vulnerabilidades afectan componentes esenciales del sistema operativo, como el antivirus integrado Defender y la herramienta de cifrado de disco BitLocker. La compañía sostiene que el investigador no intentó reportar los errores para que pudieran ser solucionados, lo que —según la posición oficial— habría sido lo “responsable”.
PUBLICIDAD
En el mismo comunicado, el gigante tecnológico advirtió que la publicación anticipada de los detalles técnicos y del código de explotación antes de que existieran parches podría haber facilitado ataques reales. Según la compañía y la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA), algunos de los fallos revelados por Nightmare Eclipse ya se han utilizado en incidentes registrados.
“Nuestra Unidad de Crímenes Digitales continuará llevando casos contra estos actores y quienes faciliten su actividad criminal, coordinando según sea necesario con las fuerzas de seguridad en todo el mundo”, indicó Microsoft en su blog. Esta unidad se encarga de proteger a la empresa con estrategias legales, técnicas y alianzas público-privadas.
PUBLICIDAD
La versión del investigador y la respuesta de la comunidad
Nightmare Eclipse ha relatado en varias publicaciones recientes que intentó contactar con Microsoft, pero asegura haber sido maltratado por la empresa, que incluso le revocó el acceso al Microsoft Security Response Center, el portal oficial para reportar vulnerabilidades.
El investigador argumenta que no tuvo alternativa más que divulgar los fallos de forma pública, convirtiéndolos en “zero days”, es decir, vulnerabilidades desconocidas para el fabricante en el momento de hacerse públicas.
PUBLICIDAD
Los exploits y detalles técnicos fueron compartidos en repositorios abiertos como GitHub y GitLab. Ambas cuentas han sido bloqueadas.
El debate sobre la divulgación y sus riesgos
Este episodio revive una discusión de fondo en la industria de la ciberseguridad: ¿Hasta dónde llega la obligación de los investigadores independientes de notificar fallos y asegurar que se solucionen? La cuestión de la remuneración por este tipo de trabajos se resolvió en gran medida a partir de la campaña “No More Free Bugs” de 2009. Actualmente, la mayoría de empresas —incluida Microsoft— recompensa económicamente a quienes reportan vulnerabilidades y acuerdan la publicación de detalles solo después de corregirlas.
PUBLICIDAD
En el caso de Nightmare Eclipse, numerosos investigadores han compartido públicamente experiencias negativas al reportar errores en los productos de Microsoft. El descontento con la postura de la empresa ha sido notorio en foros especializados y redes sociales.
Katie Moussouris, fundadora de Luta Security y pionera en la creación de programas de recompensas durante su paso por Microsoft, criticó abiertamente la reacción de la compañía. “Invocar el término ‘responsable’ divulgación fue el primer error a mi juicio. Añadir la amenaza de enjuiciamiento mencionando la Digital Crimes Unit fue excesivo y solo logrará que los investigadores desconfíen de Microsoft”, declaró Moussouris a TechCrunch.
PUBLICIDAD
Moussouris advirtió que el efecto de perder la confianza de los expertos podría traducirse en menos reportes de fallos, “lo que nos haría menos seguros a todos”.
Microsoft en el ojo público
La polémica ha generado reacciones contundentes en la comunidad. Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft, calificó la posición de la empresa como “un desastre provocado por ellos mismos” en su propio blog. Beaumont cuestionó que crear y difundir pruebas de concepto de exploits para “zero days” pueda considerarse “actividad criminal”, y opinó que el enfoque de “divulgación responsable” suele proteger más a los fabricantes que a los usuarios.
PUBLICIDAD
El caso pone en relieve las tensiones entre las grandes tecnológicas y la comunidad de ciberseguridad independiente. Mientras Microsoft defiende su derecho a proteger su infraestructura y clientes, los investigadores reclaman un trato justo, reconocimiento económico y garantías de que sus aportaciones conducirán a sistemas más seguros.
El desenlace de este conflicto podría influir en la manera en que otras empresas gestionan la colaboración y el diálogo con quienes descubren fallos en sus plataformas, así como en la motivación de los expertos para seguir reportando vulnerabilidades de manera privada.
PUBLICIDAD
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Una startup de IA limpiará casas gratis para entrenar a futuros robots
La iniciativa busca enfrentar los desafíos técnicos de la robótica doméstica con datos reales y variados
La tecnología que promete gastar menos gasolina sin renunciar a la potencia
Los sistemas denominados ‘Mild Hybrid’ recuperan energía durante el frenado y asisten al motor térmico en aceleraciones puntuales
Google se luce con un video de IA que anuncia a los convocados de Argentina para el Mundial 2026
Con el lema “Elegimos volver a creer” la compañía presenta referencias a figuras emblemáticas de la Selección argentina
Así es la computadora cuántica de 9,8 millones de euros que acaba de ser encendida en España
Investigadores de toda Europa podrán utilizar el nuevo equipo para proyectos científicos avanzados
Ni el precio ni la batería: qué buscan en una laptop la mitad de los peruanos
El trabajo híbrido y el estudio remoto impulsan la demanda de equipos más potentes
