Microsoft amenaza con acciones legales a investigador que divulgó vulnerabilidades sin parche

Microsoft amenaza con acciones legales a investigador que divulgó vulnerabilidades sin parche

Microsoft ha amenazado con emprender acciones legales y presentar cargos penales contra el investigador de seguridad conocido como “Nightmare Eclipse”, quien publicó una serie de fallos no corregidos en sus productos, junto con código para explotarlos. El caso reaviva el debate sobre la responsabilidad de los investigadores en la divulgación de vulnerabilidades que afectan a grandes empresas tecnológicas.

Los errores divulgados y los productos afectados

Nightmare Eclipse publicó detalles de vulnerabilidades bautizadas como BlueHammer, RedSun, UnDefend y YellowKey. Estas fallas afectaban a productos como el motor antivirus integrado Windows Defender y la herramienta de cifrado de discos BitLocker. Los investigadores publicaron los bugs en repositorios de código abierto en GitHub (propiedad de Microsoft) y GitLab. Sus cuentas en esas plataformas fueron bloqueadas.

La postura de Microsoft y su Digital Crimes Unit

En un comunicado, Microsoft criticó duramente al investigador por no haber informado primero a la empresa para que pudiera corregir los fallos, calificando esa conducta como “irresponsable”. La compañía afirmó que la divulgación pública antes de lanzar parches podría haber ayudado a ciberdelincuentes. Según la empresa y la agencia de ciberseguridad estadounidense CISA, algunas de las vulnerabilidades ya han sido explotadas en ataques reales.

“Nuestra Unidad de Delitos Digitales continuará presentando demandas contra estos actores y quienes faciliten su actividad delictiva, coordinándose según sea necesario con las fuerzas del orden en todo el mundo”, escribió Microsoft en su blog. La Digital Crimes Unit tiene la misión de proteger a la compañía mediante acciones legales civiles, medidas técnicas contra el delito, referencias penales y asociaciones público-privadas.

La versión del investigador

En una serie de publicaciones de las últimas semanas, Nightmare Eclipse afirmó haber intentado contactar con Microsoft, pero asegura que la compañía lo maltrató, revocándole el acceso a su cuenta en el Microsoft Security Response Center (MSRC), el portal donde los investigadores pueden reportar vulnerabilidades. El investigador insinuó que no le quedó otra opción que divulgar los fallos públicamente, lo que los convirtió en días cero, término que describe fallos de seguridad desconocidos para el fabricante en el momento de su divulgación o explotación. Nightmare Eclipse declinó hacer comentarios adicionales. Microsoft no emitió más declaraciones más allá de su entrada en el blog.

El eterno debate: ¿divulgación responsable o coordinada?

El incidente reaviva una controversia de larga data: ¿Tienen los investigadores de seguridad independientes la obligación de asegurarse de que las vulnerabilidades que encuentran sean corregidas? ¿Hasta dónde deben llegar para que las empresas afectadas las arreglen? Una parte del debate está zanjada: los investigadores merecen una compensación económica por su trabajo. La campaña “No More Free Bugs” de 2009 impulsó programas de bug bounty que hoy pueden ofrecer recompensas de seis cifras o más a quienes reportan fallos de forma privada y coordinan su publicación una vez solucionados.

En respuesta a esta controversia, numerosos investigadores han compartido malas experiencias al reportar bugs a Microsoft. Katie Moussouris, fundadora de Luta Security y pionera en la creación de programas de bug bounty mientras trabajaba en Microsoft a mediados y finales de los 2000, criticó a la empresa:

“Invocar el término ‘divulgación responsable’ fue el primer golpe en mi libro –dijo Moussouris–. Agregar una amenaza de enjuiciamiento al mencionar la Unidad de Delitos Digitales fue excesivo y solo hará que los investigadores desconfíen de Microsoft.”

Moussouris advirtió que la pérdida de confianza podría tener un efecto disuasorio, reduciendo el número de investigadores que reporten fallos y “haciéndonos a todos menos seguros”.

El ex empleado de Microsoft Kevin Beaumont también se pronunció, calificando la posición de la empresa de “vertedero de fuego autoinfligido”. Beaumont escribió:

“¿Ahora la creación y distribución de pruebas de concepto para explotar días cero es ‘actividad criminal’? La divulgación responsable a menudo se enmarca para proteger al dueño del producto, no al cliente. Usarla para intentar procesar penalmente a alguien es un nuevo mínimo.”

El caso de Nightmare Eclipse demuestra que el conflicto entre investigadores y grandes compañías tecnológicas está lejos de resolverse. La amenaza de acciones penales podría generar un efecto escalofriante en la comunidad de seguridad y, en última instancia, afectar la protección de todos los usuarios.