## Microsoft responde a las divulgaciones de zero-day **Microsoft** ha condenado públicamente la publicación de múltiples vulnerabilidades zero-day de **Windows** por parte de un investigador seudónimo, Nightmare Eclipse. La compañía declaró que tales divulgaciones no coordinadas "nunca son justificables" y sugirió posibles repercusiones legales para quienes permiten el cibercrimen. ### Las divulgaciones de zero-day A partir de abril, Nightmare Eclipse comenzó a publicar vulnerabilidades con código de prueba de concepto funcional en **GitHub**, poniéndolas a disposición tanto de atacantes como de profesionales de la seguridad. La cuenta de **GitHub** del investigador ha sido eliminada desde entonces, y su blog parece estar fuera de línea. Entre las vulnerabilidades divulgadas, **BlueHammer** (**CVE-2026-33825**), **UnDefend** (**CVE-2026-45498**) y **RedSun** (**CVE-2026-41091**) han sido explotadas en intrusiones activas, según los avisos de **Microsoft**. Estas vulnerabilidades también están incluidas en el catálogo de vulnerabilidades conocidas y explotadas de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**). Tres lanzamientos más recientes – **YellowKey** (**CVE-2026-45585**), GreenPlasma y MiniPlasma – actualmente no tienen parches ni explotación confirmada. ### Motivaciones del investigador El investigador, que permanece anónimo, citó agravios contra **Microsoft**, alegando que la compañía eliminó su cuenta del **Microsoft Security Response Center**, retuvo pagos de recompensas y eliminó la atribución de al menos un aviso. El investigador declaró: "Podría haber ganado una fortuna vendiendo esto, pero ninguna cantidad de dinero se interpondrá entre mí y mi determinación contra **Microsoft**." El investigador también amenazó con una nueva divulgación el 14 de julio, coincidiendo con el Patch Tuesday de **Microsoft**. ### Respuesta de Microsoft En una publicación de blog, **Microsoft** declaró: "Seguimos firmemente opuestos a estas acciones, y a cualquier divulgación fuera de una coordinación adecuada que pueda dañar a nuestros clientes y al ecosistema digital. Las divulgaciones no coordinadas que ponen código de prueba de concepto para vulnerabilidades sin parches en manos de actores maliciosos nunca son justificables y tienen consecuencias en el mundo real." La compañía agregó: "Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que permiten su actividad criminal, coordinando según sea necesario con las fuerzas del orden en todo el mundo." ### Preocupaciones de la industria Si bien las quejas específicas del investigador no han sido verificadas, otros profesionales de la seguridad han expresado preocupaciones similares sobre el manejo de vulnerabilidades por parte de **Microsoft**. La Iniciativa Zero Day de **Trend Micro** criticó públicamente a **Microsoft** en 2024 por falta de reconocimiento después de informar sobre una vulnerabilidad explotada activamente. El entonces CEO de **Tenable** publicó un artículo acusando a **Microsoft** de mantener a los clientes en la oscuridad sobre una vulnerabilidad de **Azure** que permaneció sin parchear durante meses después de su divulgación. Un investigador de **Check Point** también informó que **Microsoft** aplicó un parche a un error que él reportó sin notificarle. **Katie Moussouris**, fundadora de Luta Security y arquitecta del programa original de recompensas por errores de **Microsoft**, señaló que si bien divulgar zero-days no es ideal, "La no divulgación es mucho peor... ¿Qué impulsa a los investigadores hacia la no divulgación? Amenazas de los proveedores." **Microsoft** sostiene que da la bienvenida a las presentaciones de vulnerabilidades a través de su portal público para investigadores, independientemente de interacciones pasadas o reputación.