Microsoft enfrenta críticas por amenazar a investigador de seguridad con acciones legales

Microsoft se encontró en el centro de una controversia tras amenazar a un investigador de seguridad independiente, conocido como Nightmare Eclipse, por la divulgación pública de una serie de vulnerabilidades no parcheadas en sus productos. 

Esta situación reabre un debate sobre la responsabilidad de los investigadores en la divulgación de fallas de seguridad.

El miércoles, Microsoft publicó un comunicado criticando al investigador por revelar detalles de errores, entre ellos BlueHammer, RedSun, UnDefend y YellowKey, que afectaron a herramientas como el antivirus Defender y el sistema de encriptación BitLocker. 

La empresa argumentó que el investigador no intentó reportar los errores antes de hacerlos públicos, lo que consideró irresponsable.

Según Microsoft, la divulgación prematura de estas vulnerabilidades pudo haber facilitado a los hackers llevar a cabo ataques reales. En su blog, la compañía mencionó: "Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que habiliten su actividad criminal, coordinando según sea necesario con las fuerzas del orden en todo el mundo".

Por su parte, Nightmare Eclipse alegó haber intentado comunicarse con Microsoft, pero aseguró que la compañía no le brindó el apoyo adecuado, llegando incluso a revocar su acceso a la cuenta del Centro de Respuesta de Seguridad de Microsoft. El investigador insinuó que no tuvo más opción que hacer pública la información, lo que convirtió a las vulnerabilidades en zero-days, un término que se refiere a fallas de seguridad desconocidas por el fabricante.

Las vulnerabilidades fueron publicadas en repositorios de código abierto como GitHub y GitLab, plataformas que han suspendido las cuentas del investigador. Tanto Nightmare Eclipse como Microsoft no respondieron a solicitudes de comentarios.

Veteranos de ciberseguridad advierten sobre un efecto disuasorio

Este enfrentamiento pone de manifiesto una discusión prolongada y controvertida: ¿tienen los investigadores de seguridad la obligación de asegurarse de que las vulnerabilidades que descubren sean corregidas? ¿Qué tan lejos deben llegar para garantizar que las empresas responsables de los productos vulnerables realmente los reparen?

Una parte de este debate, que ha sido ampliamente reconocida, es que los investigadores merecen ser compensados por su trabajo. Aunque puede parecer obvio hoy en día, tomó años de lucha, como se documentó en la campaña "No más errores gratuitos", lanzada en 2009. Actualmente, muchas empresas ofrecen recompensas financieras por la divulgación privada de errores, que pueden llegar a ser de seis cifras.

En respuesta a la controversia con Nightmare Eclipse, numerosos investigadores han compartido sus malas experiencias al reportar errores a Microsoft. La comunidad de ciberseguridad ha expresado su descontento con la forma en que la empresa está manejando este asunto. La fundadora de Luta Security, Katie Moussouris, quien durante su tiempo en Microsoft ayudó a establecer los programas de recompensas por errores, declaró que la amenaza de acciones legales solo generará desconfianza hacia la empresa.

“Invocar el término 'divulgación responsable' fue el primer error. Añadir una amenaza de enjuiciamiento fue excesivo y solo resultará en que los investigadores de seguridad desconfíen de Microsoft”, afirmó Moussouris. Ella advirtió que esta falta de confianza podría resultar en menos personas dispuestas a reportar errores, lo que haría menos seguro el entorno para todos.

El ex-empleado de Microsoft, Kevin Beaumont, también criticó a la empresa, describiendo su posición como un "incendio de basura que ellos mismos han creado". Beaumont cuestionó si la creación y distribución de pruebas de concepto para zero-days es ahora considerada actividad criminal, lo que plantea serias dudas sobre la ética de la divulgación responsable.