Microsoft toma medidas contra el investigador 'Nightmare Eclipse'
Microsoft ha comenzado a tomar medidas para emprender acciones penales contra un investigador de seguridad que opera bajo el seudónimo de 'Nightmare Eclipse', lo que supone una escalada significativa en la disputa pública sobre la divulgación de vulnerabilidades de día cero. Como parte de esta medida, la compañía ha bloqueado el acceso del investigador al Centro de Respuesta de Seguridad de Microsoft, así como sus cuentas asociadas en GitHub y GitLab, tras la publicación de código de prueba de concepto para explotar dichas vulnerabilidades.
Aunque algunos informes sugieren que el investigador podría ser un exempleado de Microsoft, la empresa ha centrado su respuesta pública en el hecho de que el individuo no cumplió con las normas de 'coordinación adecuada'. Recientemente, Microsoft publicó nuevas directrices que enfatizan un modelo de responsabilidad compartida para proteger a los clientes, algo que, según la compañía, fue vulnerado explícitamente por la decisión del investigador de omitir los canales de notificación privados.
Críticas a la postura de Microsoft
La agresiva postura legal de la compañía ha sido objeto de duras críticas por parte del experto en ciberseguridad Kevin Beaumont. Beaumont destacó la ironía de la situación, señalando que Microsoft ha contratado anteriormente a personas que habían revelado públicamente vulnerabilidades de día cero, incluyendo algunas con antecedentes penales por piratería informática. Además, recordó que la empresa ha recurrido históricamente a la compra de exploits a través de intermediarios externos.
Beaumont cuestionó la eficacia del enfoque actual de Microsoft, señalando que resulta difícil para los investigadores informar sobre futuras vulnerabilidades de manera 'responsable' una vez que han sido vetados de las plataformas de la empresa. Advirtió que, si Microsoft intenta criminalizar el incumplimiento de sus marcos de 'divulgación responsable', podría enfrentarse a una batalla legal complicada.
Según Beaumont, el proceso de descubrimiento de pruebas en un caso así probablemente sacaría a la luz prácticas internas inconsistentes dentro de la empresa. Al respecto, afirmó: 'Si la táctica de Microsoft es intentar criminalizar el hecho de no seguir marcos de “divulgación responsable” que a menudo son arbitrarios, les deseo suerte defendiendo eso en los tribunales, porque hay todo un historial de decisiones cuestionables dentro de Microsoft y hechos que saldrían a la luz durante ese proceso'.
