Microsoft bajo fuego por amenazar a investigador de seguridad con investigación penal
Luego de una divulgación de diversas brechas abiertas en sistemas importantes del sistema operativo Microsoft, un investigador especialista enfrenta serias amenazas de juicios, demandas y un posible arresto. La intimidación encubierta de Microsoft ha revivido el tenso debate acerca de la verdadera responsabilidad que tienen los expertos al exponer debilidades que dejan en evidencia a los gigantes tecnológicos multimillonarios.
Hace unos días, la compañía ha publicado un artículo criticando duramente al especialista, conocido bajo el alias de “Nightmare Eclipse”, por la exposición pública de varias brechas, entre las que se incluyen BlueHammer, RedSun, UnDefend y YellowKey. Estos fallos han afectado productos clave como Defender, el sistema de seguridad y antivirus gratuito de Windows y BitLocker, su herramienta de cifrar discos.
El centro del reclamo de Microsoft a nivel corporativo es que el experto nunca intentó reportar las brechas para que la compañía pudiese solucionarlos. Hacer esto habría sido lo responsable, según la publicación de su blog. La otra cara de este argumento es que, al publicar detalles sobre dichos fallos y cómo se pueden explotar antes de ser parcheados, Nightmare Eclipse pudo haber ayudado a ciberdelincuentes.
Algunas vulnerabilidades que el investigador ha expuesto ya han sido aprovechadas por actores de amenazas en diversos ataques a nivel global, esto de acuerdo con el gigante tecnológico y con la agencia estadounidense de seguridad informática, llamada CISA.
La Unidad de Delitos Digitales va a seguir presentando demandas contra los actores maliciosos y contra quienes faciliten actividades criminales, coordinando con autoridades de seguridad alrededor del mundo cuando sea requerido. La unidad tiene la misión de proteger al gigante corporativo por medio de múltiples estrategias, incluyendo acciones legales civiles, contramedidas técnicas, denuncias penales, entre otras.
TIC Defense es una empresa que se enfoca en la prevención, concientización y en dar respuesta rápida a eventos potencialmente maliciosos. Todo ello con un conjunto de servicios y productos de última tecnología que aumentan las defensas digitales de las organizaciones.
En diversos blogs publicados en los últimos días y sin brindar detalles puntuales, el especialista, Nightmare Eclipse, ha afirmado tener contacto con Microsoft. No obstante, la compañía lo ha maltratado, supuestamente, revocando el acceso a su cuenta de Microsoft Security Response Center, la plataforma en donde los expertos publican vulnerabilidades a la corporación de software.
La justificación implícita del especialista ha sido que no tuvo otra opción que publicar las vulnerabilidades. Esto ha supuesto que, en ese instante, se convirtieron en amenazas de día cero, un término específico para fallos informáticos que el desarrollador del software afectado desconoce al ser expuestas o explotadas.
Los expertos han publicado los errores en los repositorios de código abierto GitHub, propiedad de Microsoft, y GitLab, en donde las cuentas de estos expertos han sido bloqueadas. Ante esto tanto Nightmare Eclipse y Microsoft se abstuvieron de hacer comentarios y ofrecer detalles al respecto.
Este enfrentamiento público abre un viejo debate y, en estos días, bastante controversial, en donde se establecen las siguientes preguntas: ¿Los investigadores de seguridad independientes tienen el deber de asegurar que las vulnerabilidades que descubren sean solucionadas obligatoriamente?, ¿hasta qué punto exacto deben llegar para garantizar que las organizaciones afectadas reparen sus propios productos defectuosos?
Una parte de este debate, que ya está solucionado y que es reconocido, es que los investigadores merecen un pago por hacer el trabajo de detectar e informar de las vulnerabilidades. Aunque en estos días sea algo evidente, esto llevó años de lucha, reflejada en una iniciativa del año 2009, llamada “No More Free Bugs”.
