Resumen: Microsoft acusó al investigador Nightmare Eclipse de "revelar una vulnerabilidad de día cero sin consentimiento previo" que involucró a Microsoft Defender, Windows y BitLocker.

El incidente podría arrastrar la relación de Microsoft con la comunidad de informes de vulnerabilidades.

La postura aguda de la compañía sobre la revelación de información de día cero por parte de los investigadores provocó críticas generalizadas en la industria de la ciberseguridad.

Microsoft afirmó que "múltiples vulnerabilidades fueron reveladas sin un proceso coordinado" y anunció que cooperaría con las fuerzas del orden para tomar acciones legales.

El incidente se consideró significativo, no solo porque era un conflicto entre una gran empresa tecnológica y un único investigador, También porque afecta a productos críticos como Defender, Windows y BitLocker

Las vulnerabilidades de día zero son vulnerabilidades de seguridad que se hacen públicas o se explotan antes de que el fabricante ofrezca parches para corregirlas

El 27 de mayo de 2026, Microsoft defendió el modelo de "divulgación coordinada de vulnerabilidades" en una entrada de blog en su Security Response Center, con el siguiente escenario:

"En un modelo personalizado, los investigadores primero reportan el error al fabricante, mientras evalúan el impacto y preparan contramedidas. Luego se puede emitir una actualización antes de que la información técnica sea pública".

La Unidad de Delitos Digitales seguirá trabajando con autoridades globales para emprender acciones legales contra los perpetradores y quienes incitan a la actividad criminal.

Este anuncio causó sensación.

Aunque no se nombró directamente, Muchos investigadores y medios de comunicación lo han interpretado como una advertencia legal para todos aquellos que publican código de prueba de concepto para una vulnerabilidad sin corregir, y el punto crucial es:

Microsoft argumenta que publicar código de prueba de concepto antes de corregir una vulnerabilidad favorecería a los atacantes, mientras que la comunidad de seguridad replica: "Microsoft utiliza el término 'responsabilidad' para trasladar la carga del problema a los investigadores, sobre todo porque los canales de reporte no siempre son eficaces".

Este problema de vulnerabilidad ha sido mucho más que un caso de disputa; Se está convirtiendo en un riesgo operacional real

En la contribución de Microsoft, se mencionan las siguientes seis vulnerabilidades:

• RedSun
• Undefend
• Bluehammer
• YellowKey
• GreenPlasma
• MiniPlasma

Son particularmente graves aquellas que han sido explotadas en ataques reales o que están detalladas en el directorio de vulnerabilidades conocidas:

● BlueHammer = CVE-2026-33825: Vulnerabilidad de extensión de privilegios locales en Microsoft Defender

● RedSun = CVE-2026-41091: Vulnerabilidad en Defender que no puede resolver enlaces antes de acceder a un archivo

● CVE-2026-45498: Vulnerabilidad de denegación de servicio en Defender

● YellowKey = CVE-2026-45585: Vulnerabilidad de seguridad de Windows que puede estar relacionada con BitLocker

CVE-2026-33825, CVE-2026-41091 y CVE-2026-45498 están incluidos en el "Catálogo de explotaciones conocidas" del CISA de los Estados Unidos (según los registros de NVD)

Según los registros, GreenPlasma y MiniPlasma no fueron ni parchados ni explotados en el momento de su lanzamiento.

Para los equipos de TI en México y América Latina, la realidad es esta: si bien la discusión ética es importante, la revisión urgente de cada versión, cada parche y cada protección es una prioridad máxima.

Una vez que aparece una vulnerabilidad en el catálogo de explotaciones conocidas, ya no es solo una discusión en el laboratorio, sino que se convierte en un tema central en la gestión de riesgos.

Microsoft enfatiza la importancia de la coordinación. Los investigadores temen el efecto disuasor.

Microsoft argumenta que, Un lanzamiento descoordinado pone en peligro a los clientes y a todo el ecosistema.

Están convencidos de que lanzar códigos de prueba de concepto antes de corregir una vulnerabilidad le dará una ventaja a los atacantes.

Sin embargo, la industria lo critica: cuando las empresas castigan o amenazan a los investigadores que reportan errores, menos empleados reportan errores internamente.

Katie Moussouris (fundadora de Luta Security), conocida por su participación en el programa Bug Bounty de Microsoft, critica:

"La 'divulgación responsable' de Microsoft ha sido problemática desde el principio. Además, mencionar a la Unidad de Delitos Digitales y amenazar con procesos penales va demasiado. Esto debilitarásolo socavará aún más a los investigadores de seguridad de Microsoft ",

coincide el investigador de seguridad Kevin Beaumont, ex empleado de Microsoft, quien pregunta:

"La industria ha reconocido desde hace mucho tiempo que los códigos de prueba de concepto y explotación son útiles para la defensa, la validación y el aprendizaje, entonces ¿por qué se consideran 'delitos'? "

Las cosas se complican por la afirmación de Nightmare Eclipse de que" Microsoft ha eliminado la cuenta de MSRC, retenido la recompensa de vulnerabilidad y eliminado su nombre de al menos un informe ", según informan varios medios especializados.

Microsoft aún no ha confirmado oficialmente estas afirmaciones.

La pregunta central es: si los canales de informes privados no funcionan, ¿quién asume el riesgo?

En este caso, no hay héroes o villanos claros que publiquen código de función con vulnerabilidades no parchadas podrían poner en peligro a usuarios reales

Por otro lado, las recompensas por errores se basan en la confianza, fechas límites claras, la comunicación y (si se ofrecen recompensas por errores, las recompensas adecuadas)

El conflicto central es: un modelo de divulgación coordinada solo funciona si ambas partes creen que el canal privado tiene sentido.

Si los investigadores creen que las empresas ignoran sus informes, bloquean el acceso o no responden, algunas empresas aprovechan la presión pública como un obstáculo personal, utilizando bloqueos, medidas de emergencia y abogados.

Para Microsoft, el riesgo reputacional es grande.

Windows, Defender, BitLocker y GitHub son todos componentes de un enorme ecosistema, Millones de usuarios y empresas para el trabajo, la protección de datos y el desarrollo de software

La empresa depende de la colaboración de investigadores externos.

Sin embargo, estos investigadores también necesitan reglas claras, una respuesta uniforme y la garantía de que reportar errores no tendrá consecuencias legales.

Las controversias con Nightmare Eclipse pueden resolverse con parches, nuevas explicaciones o nuevos descubrimientos.

Sin embargo, la discusión ha cambiado.

Se ha reconocido que el verdadero precio no es la vulnerabilidad en sí, sino la confianza detrás de todo el sistema de reporte de vulnerabilidades

Fuentes: 1