Después de que un investigador de seguridad publicara una serie de errores sin parches en productos de Microsoft, junto con código para explotarlos, la compañía ahora amenaza con emprender acciones legales y llamar a la policía. La amenaza velada de Microsoft reaviva una discusión de larga data sobre qué responsabilidad, si es que tienen alguna, tienen los investigadores de seguridad de revelar las vulnerabilidades que afectan a los gigantes tecnológicos grandes y ricos.
El miércoles, Microsoft publicó una entrada de blog criticando al investigador, que se hace llamar «Nightmare Eclipse», por revelar públicamente una serie de errores, incluidos BlueHammer, RedSun, UnDefend y YellowKey. Las fallas afectaron a productos como el motor antivirus integrado de Windows Defender y la herramienta de cifrado de disco BitLocker.
El núcleo de las quejas de Microsoft es que el investigador no intentó informar los errores para que la empresa pudiera solucionarlos. Eso habría sido «responsable», como lo expresó el blog de Microsoft. El otro lado del argumento de la compañía es que al publicar los detalles de los errores y cómo explotarlos antes de que fueran parcheados, Nightmare Eclipse puede haber ayudado a los piratas informáticos maliciosos. Algunas de las vulnerabilidades reveladas por Nightmare Eclipse han sido utilizadas desde entonces por piratas informáticos en ataques del mundo real, según Microsoft, así como la agencia de ciberseguridad estadounidense CISA.
«Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que permiten su actividad criminal, coordinando según sea necesario con las fuerzas del orden en todo el mundo», escribió Microsoft. (La Unidad de Delitos Digitales de Microsoft tiene la misión de proteger a la empresa a través de diferentes estrategias, que incluyen “acciones legales civiles, contramedidas técnicas, referencias penales y asociaciones público-privadas”, según su sitio web).
En una serie de blogs publicados en las últimas semanas, sin proporcionar muchos detalles específicos, Nightmare Eclipse afirmó haber estado en contacto con Microsoft, pero la compañía supuestamente los maltrató, incluso revocando el acceso a su cuenta del Centro de respuesta de seguridad de Microsoft, el portal donde los investigadores pueden informar vulnerabilidades al gigante tecnológico. La implicación de Nightmare Eclipse fue que no tenían más remedio que publicar las vulnerabilidades, lo que esencialmente significaba que en ese momento eran días cero, un término específico para fallas de seguridad que son desconocidas para el fabricante de software afectado en el momento en que se divulgan o explotan.
Los investigadores publicaron los errores en los repositorios de código abierto GitHub (propiedad de Microsoft) y GitLab. Las cuentas de los investigadores en esas plataformas han sido prohibidas.
Nightmare Eclipse y Microsoft no respondieron a una solicitud de comentarios.
Los veteranos de la ciberseguridad advierten sobre el efecto paralizador
Esta disputa pública trae de vuelta un debate de larga data y todavía algo controvertido: ¿Tienen los investigadores de seguridad independientes el deber de asegurarse de que las vulnerabilidades que encuentran se solucionen? ¿Y hasta dónde se supone que deben llegar para asegurarse de que las empresas cuyos productos son vulnerables realmente los solucionen?
Una parte de este debate, que ha sido plenamente resuelta y ampliamente reconocida, es que los investigadores merecen que se les pague por su trabajo. Si bien puede parecer obvio hoy en día, fueron necesarios años de lucha, plasmados en parte durante una campaña lanzada en 2009 llamada «No más errores gratuitos». Casi 20 años después, la mayoría de las empresas, pequeñas y grandes, pagan recompensas financieras por “recompensas por errores”, que hoy pueden alcanzar hasta seis cifras o más a los investigadores que revelan errores de forma privada y coordinan la publicación de sus detalles una vez que se solucionan.
En respuesta a esta última controversia con Nightmare Eclipse, innumerables investigadores han compartido sus malas experiencias informando errores a Microsoft. Es justo decir que gran parte de la comunidad de ciberseguridad está abiertamente descontenta con la forma en que Microsoft está manejando este problema. Esto incluye a veteranos de la ciberseguridad, como la fundadora de Luta Security, Katie Moussouris, quien mientras trabajaba en Microsoft a mediados y finales de la década de 2000 fue pionera en las recompensas de errores y convenció al gigante tecnológico de alejarse del concepto de “divulgación responsable” enmarcando el proceso como “divulgación coordinada”.
«Invocar el término divulgación ‘responsable’ fue el primer golpe en mi libro», dijo Moussouris a TechCrunch, refiriéndose a la publicación del blog de Microsoft. “Agregar una amenaza de procesamiento al mencionar [Digital Crimes Unit] fue exagerado y sólo resultará en que los investigadores de seguridad desconfíen de Microsoft”.
Moussouris advirtió que las consecuencias de que los investigadores de seguridad pierdan la confianza en Microsoft podrían resultar en un efecto paralizador, ya que menos personas se acercarían a reportar errores, «haciéndolo menos seguro para todos nosotros».
El investigador de seguridad y ex empleado de Microsoft Kevin Beaumont también criticó a Microsoft en una publicación de blog, describiendo la posición de la compañía como un «contenedor de basura que ella misma ha provocado».
«¿La creación y distribución de exploits de prueba de concepto durante días cero es ahora una ‘actividad criminal’?» escribió Beaumont. «La divulgación responsable a menudo se formula para proteger al propietario del producto, no al cliente; utilizarla para tratar de procesar penalmente a personas es un nuevo mínimo».
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
