Seis vulnerabilidades que nadie debía conocer: Microsoft reprendió a hackers por publicar un zero-day
Cómo la divulgación irresponsable de vulnerabilidades convierte a los cazadores de bugs en cómplices involuntarios
Microsoft criticó que se publicaran datos sobre varias vulnerabilidades de día cero sin notificar a la empresa con antelación. Microsoft afirmó que ese enfoque puso a los clientes en un riesgo innecesario, ya que los atacantes podrían haber obtenido detalles técnicos antes de la publicación de las correcciones.
La empresa recordó que normalmente trabaja con investigadores de seguridad bajo el modelo de divulgación coordinada de vulnerabilidades. Ese procedimiento supone que quienes descubren las fallas primero transmitan la información al desarrollador para que éste tenga tiempo de evaluar el problema, preparar una corrección y solo entonces publicar los detalles.
Según Microsoft, ese enfoque ayuda a publicar actualizaciones para los servicios afectados antes de que el código de prueba llegue a los atacantes. La empresa también afirma que, en este marco, paga recompensas a quienes informan de vulnerabilidades de manera responsable y reconoce públicamente la contribución de los especialistas.
Microsoft señaló seis vulnerabilidades cuya información se divulgó sin coordinación: RedSun, BlueHammer, UnDefend, YellowKey, GreenPlasma y MiniPlasma. La empresa afirma que sus equipos de seguridad están trabajando para evaluar las consecuencias, proteger a los clientes y preparar actualizaciones.
Microsoft se pronunció en contra de publicar código de prueba para vulnerabilidades sin corregir, ya que eso puede ayudar a los delincuentes. La empresa dijo que tales acciones tienen consecuencias reales, ya que los atacantes buscan constantemente puntos débiles para atacar a Microsoft y a sus clientes.
La corporación también recordó cómo su división combate la ciberdelincuencia. Esta continuará buscando que los atacantes y quienes los ayudan sean llevados ante la justicia, colaborando con las fuerzas del orden en distintos países cuando sea necesario.
Al mismo tiempo, Microsoft declaró que está dispuesta al diálogo con la comunidad y seguirá aceptando informes sobre vulnerabilidades a través del portal público para investigadores, independientemente de cómo haya sido la relación anterior y de la reputación del remitente. La empresa subrayó que apoya a quienes investigan la seguridad de forma responsable y pretende verificar los informes, corregir los problemas y publicar actualizaciones para los clientes lo antes posible.