Tras recibir fuertes críticas de la comunidad de investigación de seguridad, Microsoft ha aclarado su postura para reducir las amenazas legales percibidas. A través de un comunicado de su Centro de Respuesta de Seguridad (MSRC), la compañía ha reafirmado su compromiso con la divulgación coordinada de vulnerabilidades, buscando así desactivar la crisis generada por el manejo de sus relaciones con los investigadores.

Microsoft ha aclarado su postura, reduciendo las amenazas legales percibidas y reafirmando su compromiso con la divulgación coordinada de vulnerabilidades, tras una reacción negativa significativa de la comunidad de investigación de seguridad.

En una declaración cuidadosamente redactada y publicada a finales de mayo de 2026, el Centro de Respuesta de Seguridad de Microsoft (MSRC) actuó para desactivar una crisis creciente sobre su gestión de la comunidad de investigación de seguridad, aclarando que "no tiene intención de emprender acciones contra personas que lleven a cabo o publiquen sus investigaciones de seguridad".

La declaración llegó días después de la publicación del blog del MSRC de Microsoft el 28 de mayo, que condenaba a un investigador rebelde conocido como Nightmare Eclipse por divulgar seis zero-days de Windows sin parchear y sin coordinación, lo que fue ampliamente interpretado como una amenaza legal general contra todos los investigadores que evitan los canales oficiales.

Microsoft protege a los investigadores de buena fe

La disputa se centra en Nightmare Eclipse, también conocido como Chaotic Eclipse, quien publicó abiertamente código de explotación de prueba de concepto funcional para seis vulnerabilidades de Windows entre abril y mediados de mayo de 2026.

Los fallos, llamados BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma, afectaban a componentes centrales de Windows, incluidos Microsoft Defender y el cifrado BitLocker.

Tres de esos exploits —BlueHammer, RedSun y UnDefend— fueron posteriormente convertidos en armas en ataques del mundo real, y la CISA los añadió a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).

El investigador, que afirma que Microsoft ignoró envíos previos de vulnerabilidades a través de los canales oficiales y que "le apuñaló por la espalda", prometió un lanzamiento "estremecedor" de seguimiento el 14 de julio, dirigido al Patch Tuesday de ese mes.

La Unidad de Delitos Digitales de Microsoft ha desactivado las cuentas de Nightmare Eclipse en GitHub, GitLab y el portal de investigadores del MSRC tras la publicación pública de múltiples zero-days de Windows.

La publicación inicial del blog de Microsoft advertía que "presentaría casos contra los actores y aquellos que faciliten su actividad criminal", mientras que el MSRC también abordó la situación en una publicación en X.

Expertos en seguridad advirtieron inmediatamente que este lenguaje podría tener un efecto disuasorio en la comunidad de investigación en general, desalentando futuras divulgaciones responsables.

En su aclaración posterior, Microsoft estableció una distinción clara entre la investigación de buena fe y la actividad maliciosa.

La compañía afirmó que la escalada legal ocurriría solo "cuando un individuo infrinja la ley y participe en actividades maliciosas que causen un daño real a nuestros clientes", separando explícitamente la explotación criminal de la investigación y publicación legítima de vulnerabilidades.

La declaración reconoció que algunas interacciones pasadas entre el MSRC y los investigadores "han sido insuficientes" y se comprometió a renovar su compromiso con la "transparencia, la comunicación clara y el profesionalismo" en cada interacción de divulgación.