Microsoft amenaza con procesar penalmente a un investigador de seguridad. La comunidad de seguridad cibernética está indignada.

Microsoft publicó una entrada de blog el miércoles criticando a un investigador de seguridad identificado por su nombre.Abraza las pesadillas" para revelar una serie de vulnerabilidades inusuales en Windows Defender y BitLocker. Luego, la compañía llamó a su Unidad de Delitos Digitales, que se encarga de las referencias criminales y la coordinación de las fuerzas del orden. La comunidad de ciberseguridad reaccionó con indignación.

Los errores, llamados Bluehammer, Redsun, Undefend y Yellowy, afectan el motor antivirus integrado de Microsoft y las herramientas de cifrado de disco. El investigador publicó el código de explotación en GitHub (propiedad de Microsoft) y GitLab sin darle tiempo a Microsoft para parchearlo. Desde entonces, algunas de las vulnerabilidades han sido explotadas por atacantes en ataques del mundo real, según Microsoft y CISA.

La posición de Microsoft es que el investigador debería haber informado los errores de forma privada para que la empresa pudiera solucionarlos antes de su lanzamiento público. La empresa lo llama “responsable" Divulgación. Su publicación en el blog advirtió que su Unidad de Delitos Digitales "Estos actores y quienes facilitan sus actividades criminales seguirán presentando casos contra ellos."

Tener pesadillas cuenta una historia diferente. En una serie de publicaciones de blog publicadas durante las últimas dos semanas, el investigador afirmó haber contactado a Microsoft. La empresa supuestamente revocó el acceso a su cuenta del Centro de respuesta de seguridad de Microsoft, el portal donde los investigadores envían informes de vulnerabilidad.

La implicación del investigador fue que no tenían más remedio que revelar públicamente las vulnerabilidades. En el momento de la publicación, los errores eran de día cero: fallas desconocidas para el fabricante del software cuando fueron publicadas o explotadas. Desde entonces, las cuentas de GitHub y GitLab del investigador han sido prohibidas.

Ni Nightmare Eclipse ni Microsoft respondieron a la solicitud de comentarios de TechCrunch.

Los veteranos de la seguridad cibernética respondieron con duras críticas. Katie Moussouris, fundadora de Luta Security y pionera del propio programa de recompensas por errores de Microsoft a mediados de la década de 2000, dijo que el lenguaje de la compañía era incendiario. "Invocar el término divulgación "responsable" fue el primer golpe.", dijo a TechCrunch."En la parte superior se incluyeron amenazas de demandas citando al DCU."

Mussouris advirtió que las consecuencias podrían extenderse más allá de este caso. "Como resultado, los investigadores de seguridad desconfían de Microsoft."Dijo. Menos investigadores se presentan para informar errores".Lo hace menos seguro para todos nosotros."

Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft, describió la posición de la empresa como "Incendio en un contenedor de basura con sus propias manos."Él escribió:"¿Crear y distribuir exploits de prueba de concepto es ahora una "actividad criminal" durante cero días? Las divulgaciones de responsabilidad a menudo se hacen para proteger al propietario del producto, no al consumidor."

El debate sobre la divulgación tiene décadas de antigüedad pero no está completamente resuelto. El consenso de la industria es "divulgación integrada": Los investigadores informan de los errores de forma privada, las empresas los solucionan y los detalles se publican cuando hay un parche disponible. El propio Mussouris convenció a Microsoft de adoptar este lenguaje mientras trabajaba allí, reemplazando el término "divulgación responsable,”, lo que los investigadores consideran que enmarca los intereses de la empresa como un incumplimiento moral.

La "decisión de regreso" de Microsoftresponsable"El lenguaje y las amenazas de referencias criminales son un importante paso atrás. Los programas de recompensas por errores existen porque la industria ha aprendido a través de años de relaciones conflictivas que pagar a los investigadores para que revelen en privado es más barato y más seguro que ignorarlos hasta que se hagan públicos. La mayoría de las empresas ahora ofrecen recompensas de seis cifras por vulnerabilidades graves.

El Proyecto Glasswing de Anthropic encontró 10.000 vulnerabilidades críticas en un mes en software de código abierto, y sólo 97 fueron parcheadas. La brecha entre el descubrimiento y la remediación se está ampliando en toda la industria. Amenazar a las personas que encuentran errores no cierra esa laguna. Lo amplifica.

El panorama de seguridad de la IA está creando nuevas categorías de vulnerabilidades más rápido de lo que las empresas pueden abordarlas. El exploit Claw Chain de OpenClaw, el hackeo ferroviario TETRA de Taiwán y ahora los propios productos de Microsoft ilustran la misma dinámica: la superficie de ataque está creciendo, los investigadores que la mapean son esenciales y hay consecuencias por aislarlos.

La pregunta práctica es qué sucede cuando un investigador encuentra un error crítico, lo informa a través de los canales adecuados y la empresa revoca su cuenta. Si el relato de Nightmare Eclipse sobre el retiro de MSRC es correcto, Microsoft creó las condiciones para la divulgación pública que ahora condena. Si no es correcto, Microsoft no lo dijo.

El efecto refrescante descrito por Moussouris ya es visible. Innumerables investigadores han compartido sus propias experiencias negativas al informar errores a Microsoft en respuesta a publicaciones de blogs. Una empresa que depende de investigadores externos para encontrar fallas en productos utilizados por más de mil millones de personas les está diciendo a esos investigadores que encontrar fallas podría dar lugar a un proceso penal. El mensaje es claro. Si es prudente es otra cuestión completamente diferente.