Microsoft amenazó a un investigador de seguridad con enjuiciamiento criminal. La comunidad de ciberseguridad está furiosa.

      TL;DRMicrosoft amenazó con acciones legales contra un investigador que publicó errores no corregidos de Defender y BitLocker. Veteranos advierten sobre un efecto paralizante.

      Microsoft publicó un artículo en su blog el miércoles criticando a un investigador de seguridad conocido como "Nightmare Eclipse" por divulgar públicamente una serie de vulnerabilidades no corregidas en Windows Defender y BitLocker. La compañía luego invocó su Unidad de Delitos Digitales, que maneja referencias criminales y coordinación con la ley. La comunidad de ciberseguridad respondió con indignación.

      Los errores, llamados BlueHammer, RedSun, UnDefend y YellowKey, afectan al motor antivirus integrado de Microsoft y a la herramienta de cifrado de disco. El investigador publicó código de explotación en GitHub (propiedad de Microsoft) y GitLab sin darle a Microsoft tiempo para corregir. Algunos de los errores han sido explotados desde entonces por atacantes en ataques del mundo real, según Microsoft y CISA.

      La posición de Microsoft es que el investigador debería haber informado de los errores de forma privada para que la compañía pudiera solucionarlos antes de la divulgación pública. La compañía llamó a esto divulgación "responsable". Su publicación en el blog advirtió que su Unidad de Delitos Digitales "seguirá presentando casos contra estos actores y aquellos que faciliten su actividad criminal".

      Nightmare Eclipse cuenta una historia diferente. En una serie de publicaciones en su blog publicadas en las últimas dos semanas, el investigador afirmó haber estado en contacto con Microsoft. La compañía supuestamente revocó el acceso a su cuenta del Centro de Respuesta de Seguridad de Microsoft, el portal donde los investigadores envían informes de vulnerabilidades.

      La implicación del investigador era que no tenía otra opción que publicar las vulnerabilidades públicamente. En el momento de la publicación, los errores eran cero días: fallos desconocidos para el fabricante del software en el momento en que se divulgan o explotan. Las cuentas de GitHub y GitLab del investigador han sido prohibidas desde entonces.

      Ni Nightmare Eclipse ni Microsoft respondieron a la solicitud de comentario de TechCrunch.

      Veteranos de ciberseguridad han respondido con críticas agudas. Katie Moussouris, fundadora de Luta Security y la persona que pionera el propio programa de recompensas por errores de Microsoft a mediados de 2000, dijo que el lenguaje de la compañía era inflamatorio. "Invocar el término 'divulgación responsable' fue el primer golpe", le dijo a TechCrunch. "Agregar una amenaza de enjuiciamiento al mencionar la DCU fue excesivo".

      Moussouris advirtió que las consecuencias podrían extenderse más allá de este caso. "Solo resultará en que los investigadores de seguridad desconfíen de Microsoft", dijo. Menos investigadores que se presenten para informar sobre errores "hace que sea menos seguro para todos nosotros".

      Kevin Beaumont, un investigador de seguridad y ex empleado de Microsoft, llamó a la posición de la compañía "un incendio en un basurero de su propia creación". Escribió: "¿La creación y distribución de pruebas de concepto para cero días es 'actividad criminal' ahora? La divulgación responsable a menudo se enmarca para proteger al propietario del producto, no al cliente".

      El debate sobre la divulgación tiene décadas pero no está completamente resuelto. El consenso de la industria es "divulgación coordinada": los investigadores informan sobre errores de forma privada, las empresas los corrigen y los detalles se publican una vez que hay un parche disponible. La propia Moussouris convenció a Microsoft de adoptar este lenguaje mientras trabajaba allí, reemplazando el término "divulgación responsable", que los investigadores veían como enmarcar los intereses de la compañía como la norma moral.

      La decisión de Microsoft de volver a un lenguaje "responsable" y amenazar con referencias criminales es un paso significativo hacia atrás. Los programas de recompensas por errores existen porque la industria aprendió, a través de años de relaciones adversariales, que pagar a los investigadores para que divulguen de forma privada es más barato y seguro que ignorarlos hasta que se hagan públicos. La mayoría de las empresas ahora pagan recompensas de seis cifras por vulnerabilidades críticas.

      El Proyecto Glasswing de Anthropic encontró 10,000 vulnerabilidades críticas en un mes en software de código abierto, y solo 97 han sido corregidas. La brecha entre el descubrimiento y la remediación se está ampliando en toda la industria. Amenazar a las personas que encuentran los errores no cierra esa brecha. La amplía.

      El panorama de seguridad de la IA está creando nuevas categorías de vulnerabilidad más rápido de lo que las empresas pueden abordarlas. La explotación Claw Chain de OpenClaw, el hackeo ferroviario TETRA de Taiwán y ahora los propios productos de Microsoft ilustran la misma dinámica: la superficie de ataque está creciendo, los investigadores que la mapean son esenciales y alienarlos tiene consecuencias.

      La pregunta práctica es qué sucede cuando un investigador encuentra un error crítico, lo informa a través del canal adecuado y la compañía revoca su cuenta. Si el relato de Nightmare Eclipse sobre la revocación de MSRC es preciso, Microsoft creó las condiciones para la divulgación pública que ahora está condenando. Si no es preciso, Microsoft no lo ha dicho.

      El efecto paralizante que Moussouris describió ya es visible. Incontables investigadores compartieron sus propias experiencias negativas al informar sobre errores a Microsoft en respuesta a la publicación del blog. Una compañía que depende de investigadores externos para encontrar fallos en productos utilizados por más de mil millones de personas les está diciendo a esos investigadores que encontrar fallos podría llevar a un enjuiciamiento criminal. El mensaje es claro. Si es sabio o no es otra pregunta completamente diferente.