Microsoft aseguró que no tiene intención de emprender acciones contra investigadores que descubran y publiquen vulnerabilidades de día cero, esto días después de un polémico comunicado de la compañía sobre la divulgación no coordinada de varias fallas y que generó críticas entre los especialistas.
Microsoft emitió una aclaración pública sobre su postura frente a los investigadores de seguridad tras la controversia provocada por una publicación del Microsoft Security Response Center (MSRC) relacionada con la divulgación de varias vulnerabilidades zero-day en Windows. La empresa indicó que no busca perseguir a quienes realizan investigaciones de seguridad, luego de que parte de la comunidad interpretara el lenguaje utilizado en un comunicado anterior como una posible amenaza con acciones legales.
La discusión surgió tras la publicación de seis vulnerabilidades identificadas como RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma y MiniPlasma. Según Microsoft, estas fallas fueron divulgadas públicamente sin seguir el proceso de Coordinated Vulnerability Disclosure (CVD), mecanismo mediante el cual los investigadores comunican sus hallazgos a los proveedores antes de hacerlos públicos para permitir el desarrollo de correcciones y medidas de mitigación.
En un comunicado publicado por MSRC el pasado 27 de mayo, la compañía sostuvo que “as divulgaciones no coordinadas que ponen código de prueba de concepto para vulnerabilidades sin parchear en manos de ciberdelincuentes nunca son justificables y tienen consecuencias reales”. La declaración fue interpretada por parte de la comunidad de investigadores como una crítica directa al responsable de las divulgaciones.
Posteriormente, Microsoft difundió una nueva declaración a través de redes sociales en la que buscó aclarar su posición. En el comunicado la empresa afirmó que “para ser claros sobre nuestra postura en materia legal, no tenemos intención de emprender acciones legales contra personas que realicen o publiquen sus investigaciones de seguridad” y agregó que “seguimos creyendo firmemente en la divulgación coordinada de vulnerabilidades como base para proteger a nuestros clientes y mejorar nuestros productos”.
La controversia involucra a un investigador que utiliza el seudónimo Nightmare Eclipse, quien desde abril ha publicado vulnerabilidades acompañadas de código funcional de prueba de concepto. De acuerdo con los reportes, las tres primeras fallas divulgadas —BlueHammer, UnDefend y RedSun— fueron posteriormente identificadas por Microsoft como explotadas en ataques reales y figuran en el catálogo de vulnerabilidades explotadas conocido de la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA).
El investigador reconoció recientemente que estaba en una “lucha” contra Microsoft, cuando el mes de mayo fustigó a la empresa por parchar una de las vulnerabilidades advertidas de forma silenciosa y sin reconocer su error. “Microsoft corrigió silenciosamente la vulnerabilidad de RedSun, sin CVE, sin nada, simplemente un parche silencioso. No me sorprende que nunca admitan sus errores, pero considerando que estaba siendo explotada activamente, que no haya habido ningún aviso es una locura” declaró en ese momento, y agregó que “podría haber ganado muchísimo dinero vendiéndolo”.
El caso también reavivó críticas sobre la relación entre grandes proveedores tecnológicos y la comunidad de investigación en seguridad. Diversos especialistas recordaron incidentes previos relacionados con programas de recompensas, reconocimiento de hallazgos y gestión de reportes de vulnerabilidades. Entre ellos destacó la reacción de Katie Moussouris, impulsora del programa original de recompensas de Microsoft, quien cuestionó el uso del término “divulgación responsable” por las connotaciones que puede tener para investigadores que optan por otros mecanismos de publicación.
En su mensaje más reciente, Microsoft reconoció que algunas interacciones con investigadores no han cumplido las expectativas y aseguró que continuará trabajando para mantener una relación constructiva con la comunidad. La compañía también reiteró que seguirá aceptando reportes de vulnerabilidades a través de su portal público para investigadores, independientemente de antecedentes o interacciones previas.