Microsoft se ha pronunciado firmemente a favor de la Divulgación Coordinada de Vulnerabilidades (CVD), instando a la comunidad de investigación a compartir sus hallazgos y dar a los proveedores afectados la oportunidad de comprender mejor el impacto y abordarlos antes de que se divulguen públicamente.  El desarrollo ocurre después de que un investigador llamado Chaotic Eclipse (también conocido como Nightmare-Eclipse) divulgara detalles de múltiples vulnerabilidades de día cero que afectan a varios componentes de **Windows**, incluyendo **Defender** y **BitLocker**, durante el último mes, citando una ruptura en el manejo de **Microsoft** del proceso de divulgación de vulnerabilidades. "En las últimas semanas, se han divulgado públicamente varias vulnerabilidades de día cero", [dijo](https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure) el gigante tecnológico. "Los detalles de estas vulnerabilidades no se compartieron con **Microsoft** antes de su publicación, y las divulgaciones pusieron a nuestros clientes en riesgo innecesario". "En respuesta al riesgo innecesario creado por estas divulgaciones, nuestros equipos de seguridad han estado trabajando sin descanso para comprender el impacto, proteger a nuestros clientes y desarrollar actualizaciones de seguridad". ### Vulnerabilidades Divulgadas Las vulnerabilidades incluyen **BlueHammer** (**CVE-2026-33825**), **RedSun** (**CVE-2026-41091**), **UnDefend** (**CVE-2026-45498**), **YellowKey** (**CVE-2026-45585**), **GreenPlasma** y **MiniPlasma**. Tras la divulgación, BlueHammer, RedSun y UnDefend han sido objeto de explotación activa en la naturaleza. **Microsoft** afirmó que se opone "firmemente" a tales divulgaciones no coordinadas y que la publicación de código proof-of-concept para vulnerabilidades sin parches puede tener "consecuencias en el mundo real" cuando caen en manos de actores maliciosos. ### Respuesta de Microsoft "Invitamos a diversas perspectivas que ayuden a la comunidad de seguridad a trabajar juntos para proteger a todos. Reconocemos que no siempre estaremos de acuerdo en todo, pero estamos comprometidos con la transparencia y continuamos creando oportunidades para el diálogo", añadió el gigante tecnológico. "Estas conversaciones ocurren en eventos de apreciación a investigadores, conferencias de seguridad y en el trabajo diario que realizamos juntos para comprender y abordar las vulnerabilidades". ### Consecuencias y Repercusiones Se dice que las repercusiones de estas divulgaciones llevaron a **GitHub** a dar de baja la cuenta del investigador la semana pasada. Aunque el código de exploit para las seis vulnerabilidades se subió posteriormente a **GitLab**, la [cuenta recién creada](https://gitlab.com/nightmare-eclipse) ha sido bloqueada desde entonces. "Entonces, déjenme entender bien, cuando les pedí activamente que se comunicaran conmigo, se negaron, me humillaron y se aseguraron de insultarme delante de la gente", [dijo](https://deadeclipse666.blogspot.com/2026/05/july-14th.html) el investigador en una publicación del fin de semana. "Me difaman públicamente con su aviso de **CVE-2026-45585** a pesar de que literalmente eliminaron la cuenta de **Microsoft** que usaba para reportarles errores y no recibí ni un centavo por hacerlo, y aun así lo hice felizmente como un idiota. ¿Ahora se toman la cortesía de marcar mi cuenta de **GitHub** y borrarla del público, así sin más? Están demostrando a todos que [sic] están escalando activamente este conflicto, pero ya dejé de rogarles". El investigador también dijo que tiene la intención de lanzar algo el 14 de julio de 2026 que "se asegurará de que sus huesos se hagan añicos ese día".