Microsoft amenaza con acciones legales contra el investigador 'Nightmare Eclipse' por divulgar exploits
Microsoft está considerando una posible causa penal contra un investigador de seguridad que se identifica como 'Nightmare Eclipse', un desarrollo informado por The Verge. La decisión de Microsoft se desencadenó por la divulgación pública persistente por parte del investigador de código de exploits de prueba de concepto. Esto ha desatado un debate crítico en el sector global de la ciberseguridad que cuestiona los límites de los protocolos de divulgación responsable.
Nightmare Eclipse es un investigador de identidad desconocida especialmente activo en redes sociales. Según el relato de The Verge, en los últimos seis meses divulgó públicamente en redes sociales cinco vulnerabilidades zero-day distintas en Windows y productos de Microsoft 365. Algunas de las vulnerabilidades aún no habían sido parcheadas por el programa oficial de divulgación responsable de Microsoft, el Microsoft Security Response Center (MSRC). Algunas de las publicaciones del investigador en redes sociales también incluyen contenido que sugiere que podría ser un exempleado de Microsoft.
En la declaración escrita de Microsoft a The Verge, la empresa indicó que 'la información publicada públicamente por Nightmare Eclipse ofrece a los autores de malware una hoja de ruta de ataque que perjudica a millones de usuarios de Windows'. El portavoz de la empresa confirmó que Microsoft está considerando 'una causa penal en virtud del Computer Fraud and Abuse Act (CFAA)' entre las posibles opciones. Microsoft también anunció que había suspendido las cuentas de GitHub, GitLab y MSRC del investigador.
La consideración por parte de Microsoft de emprender acciones legales desencadenó fuertes reacciones en el sector. Según The Verge, el investigador de seguridad Kevin Beaumont criticó el enfoque de la empresa diciendo que 'Microsoft está dirigiendo hacia los investigadores que las divulgaron la presión que afronta por no haber parcheado a tiempo esas vulnerabilidades'. Beaumont señaló que tres de los cinco zero-days divulgados por Nightmare Eclipse siguen sin parchear.
El debate sobre la divulgación responsable se ha convertido en uno de los temas más sensibles de la ciberseguridad en la última década. La práctica tradicional es que los investigadores notifiquen primero las vulnerabilidades a la empresa correspondiente y que la empresa prepare un parche en un plazo razonable (habitualmente 90 días). Sin embargo, si las empresas no actúan en ese plazo, los investigadores pueden optar por divulgar públicamente la vulnerabilidad; esto se hace tanto para advertir a los usuarios finales como para ejercer una presión histórica sobre la empresa.
Según el análisis sectorial recogido por The Verge, la postura de Microsoft contra Nightmare Eclipse significa algo distinto del protocolo tradicional de divulgación responsable. La empresa no realizó una declaración definitiva sobre si el investigador le notificó primero. La ex ingeniera de seguridad de Microsoft Tarah Wheeler declaró a The Verge que 'las prácticas generales del sector son favorables a los investigadores; sin embargo, en los últimos años las grandes empresas han empezado a endurecer esta práctica'.
Organizaciones de derechos digitales como la Electronic Frontier Foundation (EFF) y el Center for Democracy and Technology (CDT) han adoptado una posición crítica frente a la acción de Microsoft. La asesora principal de política de seguridad de la EFF, Eva Galperin, declaró a The Verge que 'la divulgación responsable está dejando de ser un principio verdaderamente igualitario — las grandes empresas pasan de considerar a los investigadores como aceptables a posicionarlos como amenazas'. La EFF señaló que el caso Nightmare Eclipse podría convertirse en las próximas semanas en un caso testigo en el que EFF Legal prestará asesoramiento.
Desde el punto de vista de Microsoft, el presupuesto anual de ciberseguridad de la empresa se estima en aproximadamente 4.000 millones de dólares. Según The Verge, la empresa destina una parte importante de ese presupuesto a investigación de seguridad llevada a cabo en coordinación con terceros. El programa de bug bounty del MSRC recibe cada año unos 13.000 informes de seguridad de unos 500 investigadores; en aproximadamente 100 de esos informes se pagan recompensas superiores a 50.000 dólares. El caso Nightmare Eclipse queda fuera de este proceso estándar, lo que empuja a Microsoft a buscar la vía judicial.
Los comentarios de otras grandes empresas tecnológicas han adoptado una postura equilibrada. Maddie Stone, exingeniera de seguridad de Google, declaró a The Verge que 'cuando no se aplica la divulgación responsable, es posible encontrar actores maliciosos que ejercen una presión extraordinaria para que las vulnerabilidades se corrijan. Pero la acción legal es un umbral que no debería cruzarse'. Se ha informado de que Apple inició en 2024 un proceso judicial por un caso similar pero finalmente lo retiró.
Este artículo no constituye consejo legal ni de ciberseguridad. Los investigadores de seguridad deben consultar a sus propios asesores legales sobre las decisiones de divulgación pública. La cuestión de si Microsoft iniciará una causa legal en las próximas semanas constituirá un precedente crítico para el sector. La cobertura de The Verge subraya que las organizaciones de derechos digitales y los analistas del sector siguen de cerca el desarrollo y que este caso podría ser un punto de prueba importante para el futuro de las políticas de divulgación responsable.