Giro de Microsoft tras las críticas por amenazas a Nightmare Eclipse

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Microsoft publicó un comunicado en el que abandonó la retórica agresiva en el conflicto con el investigador de seguridad Nightmare Eclipse (también conocido como Chaos Eclipse), que anteriormente había revelado exploits para seis vulnerabilidades de Windows aún sin corregir. La compañía declaró que no tiene intención de emprender acciones legales contra los profesionales dedicados a la investigación en seguridad. Este giro se produjo tras una amplia oleada de críticas por parte de la comunidad profesional, incluidos antiguos empleados de la propia Microsoft. La situación afecta a una cuestión fundamental: las relaciones entre los grandes vendors y los investigadores independientes de vulnerabilidades.

Cronología del conflicto

El conflicto comenzó después de que Nightmare Eclipse, sin notificar previamente a Microsoft, hiciera pública la información sobre seis vulnerabilidades sin parchear. Cuatro de ellas recibieron identificadores CVE y están registradas en la base NVD: CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend) y CVE-2026-45585 (YellowKey). Otras dos vulnerabilidades —GreenPlasma y MiniPlasma— se mencionan sin CVE asignado y su estatus sigue sin ser confirmado por fuentes independientes. Ninguna de las cuatro CVE figura en el catálogo CISA Known Exploited Vulnerabilities; sin embargo, existen exploits PoC públicos para estas vulnerabilidades.

A finales de mayo, Microsoft sostuvo que la publicación de exploits para fallos sin parche «no puede justificarse de ninguna manera» y mencionó a la división Digital Crimes Unit, que se encarga de investigar ciberdelitos en colaboración con las fuerzas del orden. Aunque no se formularon amenazas directas, la comunidad de ciberseguridad percibió esto como una forma velada de presión.

Reacción de la comunidad y marcha atrás de Microsoft

La postura de Microsoft provocó duras críticas por parte de especialistas de reconocido prestigio. Según el material original, el exempleado de Microsoft Kevin Beaumont calificó la situación como «un desastre creado por la propia Microsoft». El jefe de investigación de Nextron Systems, Florian Roth, señaló que la compañía cometió un grave error al convertir el incidente en un enfrentamiento público. Katie Moussouris —creadora del programa de bug bounty de Microsoft y fundadora de Luta Security— destacó lo contradictorio de los mensajes de la empresa: por un lado, habla de recompensas para los investigadores; por otro, entra en conflicto con un especialista que afirma no haber recibido ni reconocimiento ni pagos. La mención de Digital Crimes Unit la describió como «una amenaza velada».

Como resultado, Microsoft se vio obligada a suavizar su postura. Los puntos clave del nuevo comunicado son:

  • La compañía no tiene intención de emprender acciones legales contra personas que se dedican a la investigación de seguridad de la información o que publican los resultados de dichas investigaciones.
  • La colaboración con las fuerzas del orden solo es posible en caso de actividades ilícitas que causen daños reales a los clientes.
  • La empresa reconoció que algunas interacciones con los investigadores «podrían no haber transcurrido de forma demasiado fluida» y prometió tener en cuenta los comentarios recibidos.

Al mismo tiempo, Microsoft no hizo ningún comentario sobre las acusaciones concretas del investigador relativas al bloqueo de cuentas y al impago de recompensas.

Escalada: nuevas revelaciones

Al parecer, el conflicto ha tenido el efecto contrario al que esperaba Microsoft. Nightmare Eclipse informó en su blog de que, tras la presión pública por parte de la empresa, otros investigadores empezaron a ponerse en contacto con él y a proporcionarle información sobre vulnerabilidades descubiertas. En particular, anunció una vulnerabilidad denominada Bitskrieg, atribuida al investigador JonasLyk, que supuestamente rompe la protección de Secure Boot y permite eludir BitLocker. Se esperan detalles técnicos en junio. Conviene subrayar que esta información se basa exclusivamente en la publicación en el blog personal del investigador y no ha sido confirmada ni por el vendor ni por fuentes independientes.

Paralelamente, otro especialista, Ammar Askar, divulgó información sobre una vulnerabilidad 0-day en Visual Studio Code apenas una hora después de notificarla a los desarrolladores de GitHub. Según los datos disponibles, la motivación fue una experiencia previa negativa al tratar con MSRC. Aunque este caso no está directamente relacionado con Nightmare Eclipse, ilustra un problema sistémico en las relaciones de Microsoft con la comunidad investigadora.

Evaluación del impacto y conclusiones sistémicas

La situación va más allá de un conflicto aislado y pone de manifiesto un problema estructural. Cuando el mayor vendor de software pierde la confianza de los investigadores, las consecuencias afectan a todo el ecosistema de seguridad de Windows y, por tanto, a usuarios corporativos y gubernamentales de todo el mundo. Cada divulgación de vulnerabilidad sin notificación previa al vendor crea una ventana de oportunidad para los atacantes hasta que se publica el parche.

Las organizaciones que utilizan los componentes de Windows afectados son las que corren mayor riesgo, especialmente si se confirma una vulnerabilidad en la cadena Secure Boot / BitLocker. Eludir el cifrado completo de disco puede tener consecuencias críticas para la protección de datos cuando existe acceso físico al dispositivo.

Recomendaciones

  • Monitoreo de CVE: siga las actualizaciones de CVE-2026-33825, CVE-2026-41091, CVE-2026-45498, CVE-2026-45585 en NVD y esté atento a la asignación de puntuaciones CVSS y a la publicación de parches oficiales de Microsoft.
  • PoC públicos: tenga en cuenta que existen exploits públicos para las vulnerabilidades mencionadas. Evalúe su aplicabilidad a su infraestructura antes de la publicación de los parches.
  • Bitskrieg: hasta que se publiquen los detalles técnicos y exista verificación independiente, revise la vigencia de la configuración de Secure Boot y de las políticas de BitLocker en su entorno. Asegúrese de que las firmwares UEFI estén actualizadas a las últimas versiones.
  • Extensiones de VS Code: limite la instalación de extensiones desde fuentes no verificadas y esté pendiente de las actualizaciones de seguridad de Visual Studio Code.

Este conflicto es una demostración clara de cómo el intento de un vendor de silenciar a un investigador incómodo puede desencadenar un empeoramiento en cascada de la situación. Para las organizaciones que utilizan Windows, la conclusión práctica es sencilla: sin esperar a los parches oficiales, realice un inventario de los sistemas potencialmente afectados por las cuatro CVE confirmadas y prepare un plan de actualización rápida en cuanto Microsoft publique las correcciones. Conviene seguir por separado la publicación en junio de los detalles de Bitskrieg: si se confirma el bypass de BitLocker, será necesario revisar el modelo de protección de datos en los dispositivos finales.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio