«Está bien, sigan»: Microsoft dejará en paz a los investigadores que publiquen vulnerabilidades 0-day en Windows
Intento de intimidar a especialistas "incómodos" le costó cara a la reputación de la empresa.
(Opción más formal: El intento de amedrentar a especialistas "incómodos" terminó asestando un duro golpe a la reputación de la empresa.)
El conflicto entre Microsoft y especialistas independientes en seguridad obtuvo un giro inesperado. Tras una ola de críticas, la empresa se vio obligada a aclarar públicamente su posición y asegurar a la comunidad que no pretende perseguir a los autores de investigaciones de vulnerabilidades, incluso si los resultados se publican abiertamente.
El motivo del debate fue la reciente publicación de Microsoft dedicada a una serie de vulnerabilidades de día cero divulgadas en Windows. En aquel momento la corporación afirmó que publicaciones de ese tipo sin coordinación eran inaceptables, y que la unidad Digital Crimes Unit continuaría buscando responsabilizar a quienes ayudan a los delincuentes. Aunque el texto no mencionaba explícitamente al investigador bajo el seudónimo Nightmare Eclipse, muchos interpretaron las formulaciones como una amenaza velada dirigida a esa persona.
La comunidad reaccionó con dureza. Muchos especialistas apoyaron las reclamaciones de Nightmare Eclipse contra Microsoft. Según el autor de las publicaciones, la empresa eliminó la cuenta en Microsoft Security Response Center, no pagó parte de las recompensas por los problemas encontrados y suprimió la mención del investigador al menos en un aviso de vulnerabilidad.
Ante el creciente descontento, Microsoft emitió una nueva declaración, pero ya no en el blog corporativo, sino a través de redes sociales. La empresa enfatizó que revisó cuidadosamente los comentarios y que no tiene intención de emprender acciones legales contra personas que realizan investigaciones de seguridad o publican los resultados de su trabajo.
Al mismo tiempo, la corporación aclaró que sí cooperará con las autoridades cuando se trate de violaciones de la ley y de acciones que hayan causado daño real a clientes.
Microsoft también reconoció que algunos contactos con investigadores no se manejaron de la mejor manera. La empresa dijo estar dispuesta a aprender de esas situaciones y a mejorar la interacción con la comunidad. No obstante, las acusaciones concretas contra Nightmare Eclipse no se trataron en la declaración.
Es notable otro cambio. En la nueva publicación Microsoft abandonó el término «responsible disclosure» que se empleó en el texto anterior. En su lugar, la empresa volvió a usar la expresión «coordinated vulnerability disclosure». Ese enfoque fue adoptado por Microsoft ya en 2010 para evitar acusaciones contra investigadores que divulgan información sobre vulnerabilidades fuera de los procedimientos acordados.
La exempleada de Microsoft Katie Moussouris, que participó en la transición a la nueva terminología, criticó previamente el retorno de la antigua expresión. En su opinión, los fabricantes de software suelen usar formulaciones así cuando quieren presentar la acción del investigador como irresponsable.
Mientras tanto, Nightmare Eclipse informó en su blog que, tras los eventos recientes, otros especialistas comenzaron a contactarlo y a transmitirle información sobre nuevos problemas de seguridad. El investigador anunció la próxima publicación sobre otra vulnerabilidad de Secure Boot. Según él, la falla encontrada permite eludir por completo la protección de BitLocker y podría usarse potencialmente para comprometer máquinas virtuales confidenciales.