«Está bien, sigan»: Microsoft dejará en paz a los investigadores que publiquen vulnerabilidades 0-day en Windows
El intento de intimidar a especialistas "incómodos" le costó caro a la reputación de la empresa.
El conflicto entre Microsoft y especialistas independientes en seguridad dio un giro inesperado. Tras una ola de críticas, la empresa se vio obligada a aclarar públicamente su posición y asegurar a la comunidad que no pretende perseguir a los autores de investigaciones de vulnerabilidades, incluso si los resultados se publican abiertamente.
El motivo del debate fue la reciente publicación de Microsoft dedicada a una serie de vulnerabilidades de día cero divulgadas en Windows. En aquel momento, la corporación afirmó que las publicaciones de ese tipo sin coordinación eran inaceptables y que la Digital Crimes Unit continuaría buscando responsabilizar a quienes ayudan a los delincuentes. Aunque el texto no mencionaba explícitamente al investigador con el seudónimo Nightmare Eclipse, muchos interpretaron esas frases como una amenaza velada dirigida contra él.
La comunidad reaccionó con dureza. Muchos especialistas apoyaron las reclamaciones de Nightmare Eclipse contra Microsoft. Según el autor de las publicaciones, la empresa eliminó su cuenta en Microsoft Security Response Center, no pagó parte de las recompensas por los problemas encontrados y suprimió la mención del investigador en al menos un aviso de vulnerabilidad.
Ante el creciente descontento, Microsoft emitió una nueva declaración, pero ya no en el blog corporativo, sino a través de redes sociales. La empresa enfatizó que revisó cuidadosamente los comentarios y que no tiene intención de emprender acciones legales contra personas que realizan investigaciones de seguridad o publican los resultados de su trabajo.
Al mismo tiempo, la corporación aclaró que sí cooperará con las autoridades cuando se trate de violaciones de la ley y de acciones que hayan causado daño real a clientes.
Microsoft también reconoció que algunos contactos con investigadores no se manejaron de la mejor manera. La empresa dijo que está dispuesta a aprender de esas situaciones y a mejorar la interacción con la comunidad. No obstante, la declaración no abordó las acusaciones concretas de Nightmare Eclipse.
Es notable otro cambio. En la nueva publicación, Microsoft abandonó el término «responsible disclosure», que se empleó en el texto anterior. En su lugar, la empresa volvió a usar la expresión «coordinated vulnerability disclosure». Microsoft adoptó ese enfoque ya en 2010 para evitar acusaciones contra investigadores que divulgan información sobre vulnerabilidades fuera de los procedimientos acordados.
La exempleada de Microsoft Katie Moussouris, que participó en la transición a la nueva terminología, criticó previamente el retorno de la antigua expresión. En su opinión, los fabricantes de software suelen usar formulaciones así cuando quieren presentar la acción del investigador como irresponsable.
Mientras tanto, Nightmare Eclipse informó en su blog que, tras los eventos recientes, otros especialistas comenzaron a contactarlo y a transmitirle información sobre nuevos problemas de seguridad. El investigador anunció una próxima publicación sobre otra vulnerabilidad de Secure Boot. Según él, la falla encontrada permite eludir por completo la protección de BitLocker y podría usarse potencialmente para comprometer máquinas virtuales confidenciales.