Microsoft se encuentra en medio de una tormenta de críticas tras amenazar con acciones legales contra un investigador de seguridad conocido como "Nightmare Eclipse". El investigador publicó vulnerabilidades sin parchar en Windows Defender y BitLocker, lo que desató la furia de la comunidad de ciberseguridad. La compañía invocó su Unidad de Delitos Digitales, que maneja referencias criminales y coordinación con autoridades, generando preocupación sobre un efecto disuasorio en la investigación de seguridad.
Las vulnerabilidades, denominadas BlueHammer, RedSun, UnDefend y YellowKey, afectan al motor antivirus integrado de Microsoft y su herramienta de cifrado de disco. El investigador publicó el código de explotación en GitHub y GitLab sin dar tiempo a Microsoft para solucionar los problemas. Según la compañía y CISA, algunas de estas vulnerabilidades ya han sido explotadas por atacantes en ataques reales.
Microsoft argumenta que el investigador debió reportar los errores de forma privada para permitir su corrección antes de hacerlos públicos, llamando a esto divulgación "responsable". Sin embargo, Nightmare Eclipse afirma haber estado en contacto con Microsoft, alegando que la compañía revocó su acceso al portal de Microsoft Security Response Center, donde los investigadores envían reportes de vulnerabilidades. Esto implicaría que el investigador no tuvo otra opción que publicar las fallas públicamente. Tanto las cuentas de GitHub como de GitLab del investigador han sido prohibidas.
Veteranos de la ciberseguridad han respondido con críticas contundentes. Katie Moussouris, fundadora de Luta Security y creadora del programa de recompensas por errores de Microsoft, calificó el lenguaje de la compañía como inflamatorio. Advirtió que invocar el término "divulgación responsable" y amenazar con enjuiciamiento solo resultará en que los investigadores desconfíen de Microsoft, haciendo que menos reporten errores y reduciendo la seguridad para todos.
El debate sobre la divulgación de vulnerabilidades lleva décadas. El consenso de la industria favorece la "divulgación coordinada": los investigadores reportan errores de forma privada, las compañías los corrigen y los detalles se publican una vez disponible el parche. La decisión de Microsoft de volver al término "responsable" y amenazar con referencias criminales representa un retroceso significativo. Los programas de recompensas por errores existen porque la industria aprendió que pagar a investigadores por divulgaciones privadas es más barato y seguro que ignorarlos hasta que hagan públicos los hallazgos. Este incidente ya está generando un efecto disuasorio visible, con innumerables investigadores compartiendo experiencias negativas al reportar errores a Microsoft.
Fuente Original: https://thenextweb.com/news/microsoft-threatens-security-researcher-nightmare-eclipse
Artículos relacionados de LaRebelión:
- Microsoft Threatens Legal Action Against Security Researcher
- OpenAI IA de Vanguardia para Ciberseguridad Bancaria en Japon
- IA y Ciberseguridad Bancaria Nuevos Retos Revelados
- Microsoft Abre Codigo Protege tus Agentes IA con RAMPART
- AI Finds 16 Windows Bugs Microsoft Patched
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario