Microsoft amenaza con acciones legales tras la publicación de vulnerabilidades sin parche con código de explotación
Microsoft bajo fuego por disputa sobre divulgación
Microsoft enfrenta críticas después de advertir que podría emprender acciones legales e involucrar a las fuerzas del orden contra un investigador de seguridad que divulgó públicamente una serie de vulnerabilidades sin parche en sus productos, junto con código de explotación de prueba de concepto.
En una entrada de blog publicada el miércoles, la compañía criticó al investigador, que usa el seudónimo “Nightmare Eclipse”, por publicar detalles de errores que, según Microsoft, afectaron productos como Windows Defender y BitLocker. Microsoft dijo que la divulgación no fue “responsable” porque los fallos no habían sido parcheados antes de que la información se hiciera pública.
La respuesta de la compañía ha reavivado un debate de larga data sobre cómo deberían manejar los investigadores de seguridad las vulnerabilidades en grandes plataformas de software, especialmente cuando los fallos afectan herramientas de uso generalizado de una empresa con los recursos de Microsoft.
Microsoft dijo que algunas de las vulnerabilidades divulgadas por Nightmare Eclipse han sido utilizadas por hackers en ataques reales, según la compañía y la agencia estadounidense de ciberseguridad CISA. También indicó que su Unidad de Delitos Digitales seguirá persiguiendo casos contra quienes crea que contribuyen a actividad criminal, incluso mediante coordinación con las fuerzas del orden.
Nightmare Eclipse, en una serie de entradas de blog a lo largo de las últimas semanas, afirmó haber estado en contacto con Microsoft y dijo que la compañía los trató mal. El investigador alegó que Microsoft revocó el acceso a su cuenta del centro de respuesta de seguridad de Microsoft, el portal que usan los investigadores para reportar vulnerabilidades. Eso, sugirió el investigador, dejó la divulgación pública como la única opción.
Los errores fueron luego publicados en repositorios de código abierto, donde venían acompañados de código destinado a demostrar cómo podían ser explotados. Una vez divulgados sin parchear, los problemas se convirtieron en vulnerabilidades de día cero — fallos desconocidos para el fabricante del software en el momento de la divulgación o explotación.
La crítica de Microsoft se centra en el argumento de que el investigador debería haber informado los errores de forma privada primero. La posición del investigador, tal como se presenta en las entradas del blog, es que el manejo de la situación por parte de Microsoft no les dejó una vía significativa para una divulgación responsable. La disputa ahora pone bajo escrutinio el proceso de respuesta de seguridad de Microsoft, al tiempo que plantea nuevas preguntas sobre dónde se traza la línea entre la investigación de interés público y conductas que pueden ayudar a los atacantes.
Fuentes:
Navega de forma privada con Doppler VPN — sin registros, conexión con un solo toque.