Microsoft se retracta de sus amenazas legales contra Nightmare Eclipse tras la rebelión de la comunidad de seguridad

Rápidamente se confirmó que tres de las seis vulnerabilidades estaban siendo explotadas activamente: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) y UnDefend (CVE-2026-45498) . La CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU.) las añadió a su catálogo de Vulnerabilidades Conocidas Explotadas, exigiendo a las agencias federales que aplicaran parches de emergencia . Microsoft parchó BlueHammer en el ciclo del Martes de Parches del 14 de abril y lanzó arreglos fuera de ciclo para RedSun y UnDefend el 21 de mayo, tras reportarse ataques activos . Las tres restantes —YellowKey (una evasión de BitLocker, CVE-2026-45585), GreenPlasma y MiniPlasma— seguían sin parche a principios de junio .

El investigador afirmaba tener un historial de agravios con la gestión de vulnerabilidades de Microsoft. Nightmare Eclipse alegó que informes anteriores enviados por canales oficiales habían sido ignorados o mal gestionados, y que los pagos de recompensas por errores —supuestamente de hasta 250.000 dólares por exploits de Hyper-V— no se habían realizado . Microsoft, por su parte, declaró que el investigador no había reportado las vulnerabilidades a través de canales oficiales antes de su publicación .

Cómo escaló Microsoft el conflicto

La situación se intensificó drásticamente en la última semana de mayo. Alrededor del 23 de mayo, la cuenta de GitHub de Nightmare Eclipse fue suspendida. Luego, el investigador fue expulsado de GitLab aproximadamente entre el 26 y el 27 de mayo . Operando desde un blog personal, el investigador amenazó con una publicación "demoledora" de exploits adicionales programada para el 14 de julio de 2026, el siguiente Martes de Parches .

El 27 de mayo, el MSRC de Microsoft publicó una entrada de blog titulada "Una responsabilidad compartida: protegiendo a los clientes mediante la Divulgación Coordinada de Vulnerabilidades" . El post condenaba las divulgaciones no coordinadas, afirmando que "las divulgaciones no coordinadas que ponen código de prueba de concepto para vulnerabilidades no parcheadas en manos de actores maliciosos nunca son justificables y tienen consecuencias en el mundo real" .

Un pasaje en particular encendió las alarmas en toda la comunidad de seguridad:

"Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que facilitan su actividad delictiva, coordinándose según sea necesario con las fuerzas del orden de todo el mundo" .

Aunque Microsoft no nombró directamente a Nightmare Eclipse, el contexto de la publicación —una respuesta directa a la campaña de día cero en curso— llevó a muchos investigadores de seguridad a interpretarla como una amenaza legal específica contra el investigador .

La comunidad de ciberseguridad estalla

La reacción fue rápida y abrumadoramente negativa. Investigadores de seguridad, comentaristas de la industria y las principales publicaciones tecnológicas acusaron a Microsoft de tácticas de intimidación que podrían desalentar la investigación de seguridad legítima .

Múltiples medios publicaron críticas en cuestión de días. El titular de TechCrunch decía: "Microsoft bajo fuego por amenazar a un investigador de seguridad con una investigación criminal" . Windows Central reportó el temor personal del investigador con el titular "Arruinarán mi vida" . The Register, Security Affairs, CSO Online y The Times of India cubrieron la reacción violenta, con medios internacionales señalando la "indignación" y el "revuelo" en la comunidad de ciberseguridad .

Un tema central en las críticas fue que los investigadores argumentaron que la postura legal de Microsoft socavaba la confianza en el propio proceso de divulgación coordinada. Si los investigadores temían represalias legales, podrían dejar de reportar errores a través de los canales oficiales por completo . Varios comentaristas señalaron la ironía de que Microsoft amenazara a un investigador mientras tres de las seis vulnerabilidades divulgadas seguían sin parchearse .

El investigador de seguridad Kevin Beaumont destacó públicamente la gestión de la situación por parte de Microsoft, cuestionando la proporcionalidad de la respuesta de la compañía . El consenso general se formó en torno a la idea de que Microsoft había provocado la escalada al gestionar mal los informes iniciales del investigador y luego agravó el problema con su ruido de sables legal .

La marcha atrás del 2 de junio

El 2 de junio de 2026, Microsoft dio un giro de 180 grados. En una declaración publicada en la red social X y reportada por múltiples medios, la compañía declaró: "Para ser claros sobre nuestro enfoque en materia legal, no tenemos intención de emprender acciones contra individuos que realizan o publican sus investigaciones de seguridad" .

La declaración contradecía directamente el lenguaje de la Unidad de Delitos Digitales de la publicación del blog del 27 de mayo. Microsoft intentó enmarcar su comunicación anterior como una declaración general sobre las prácticas de divulgación coordinada, en lugar de una amenaza específica contra Nightmare Eclipse .

El blog tecnológico alemán BornCity describió el giro como un "pequeño retroceso" de Microsoft tras la "tormenta de críticas" provocada por la publicación del MSRC . La publicación del sector iTnews informó que la medida "se produce después de un fuerte rechazo de los investigadores de seguridad" .

Lo que realmente significa la retractación

La declaración del 2 de junio se entiende mejor como una medida de control de daños, no como una reforma de su política. Microsoft no se comprometió a cambiar sus expectativas de divulgación de vulnerabilidades, ni abordó las afirmaciones subyacentes del investigador sobre informes mal gestionados y recompensas impagadas. La compañía retiró la amenaza legal, manteniendo su postura de que la divulgación no coordinada es irresponsable .

Las reacciones de la comunidad de investigadores reflejaron este escepticismo. Muchos vieron la aclaración como una retirada táctica impulsada por la presión pública, más que como un compromiso genuino con la protección de los derechos de los investigadores . El estado sin resolver de YellowKey, GreenPlasma y MiniPlasma —todas aún sin parche a principios de junio— siguió alimentando las críticas de que las prioridades de Microsoft estaban desalineadas .

El episodio expuso profundas tensiones en las normas de divulgación de vulnerabilidades. La divulgación coordinada se basa en la confianza: los investigadores reportan errores en privado y los fabricantes los parchan en un plazo de tiempo razonable. Cuando cualquiera de las partes percibe una ruptura de ese pacto —ya sea por informes ignorados, recompensas retenidas o amenazas legales—, todo el sistema se vuelve frágil. Tres factores forzaron la mano de Microsoft: el volumen y la velocidad de la indignación de la comunidad, la amenaza del investigador de una filtración aún mayor de exploits el 14 de julio, y la incómoda imagen de amenazar con acciones legales mientras sus propios parches seguían incompletos.