Microsoft se ve obligada a dar marcha atrás en su política sobre el investigador de día cero fraudulento Nightmare Eclipse

Microsoft ha dado marcha atrás oficialmente en su agresiva postura legal contra el investigador de seguridad independiente que opera bajo el alias "Pesadilla Eclipse." Tras la severa reacción de la comunidad mundial de la ciberseguridad, el gigante tecnológico borró discretamente su reciente retórica corporativa que equiparaba la revelación descoordinada de fallos con un comportamiento malicioso. El cambio repentino representa un importante esfuerzo de control de daños por parte de Redmond para parchear unas relaciones en rápido deterioro con los analistas de amenazas externas y los profesionales de la seguridad que forman la columna vertebral de los ecosistemas modernos de defensa del software.

Dentro de la campaña de día cero Nightmare Eclipse

La disputa se encendió originalmente después de que Nightmare Eclipse eludiera los canales de información corporativos tradicionales para publicar código de prueba de concepto funcional para varios fallos de Windows de alta gravedad. La campaña consiguió convirtió en armas las vulnerabilidades de día cero en sistemas defensivos fundamentales, desplegando cadenas de escalada de privilegios locales como BlueHammer (CVE-2026-33825) y la herramienta RedSun diseñada para cegar Microsoft Defender. La represalia inicial de Microsoft -que incluyó agresivas amenazas legales de su Unidad de Delitos Digitales y amplias prohibiciones de cuentas en plataformas de alojamiento de código como GitHub y GitLab-provocó la condena generalizada de los líderes de seguridad empresarial, que advirtieron de que la intimidación corporativa de mano dura ahogaría la investigación defensiva y dejaría las redes activas expuestas a los actores maliciosos.

La transición de vuelta a la divulgación coordinada de vulnerabilidades

En su última actualización de la política, Microsoft aclaró explícitamente que no tiene intención de emprender acciones legales contra las personas dedicadas a la identificación legítima de vulnerabilidades. En particular, el gigante del software ha abandonado por completo el controvertido término "divulgación responsable" de sus canales de mensajería oficiales. En su lugar, la empresa ha vuelto a su marco clásico de "divulgación coordinada de vulnerabilidades", admitiendo que algunas de sus recientes medidas represivas automatizadas en la plataforma no cumplían las normas profesionales de la comunidad y prometiendo una estrategia de compromiso de buena fe para la presentación de informes en el futuro.

Vectores sin resolver y amenazas de parches de junio en ciernes

A pesar del retroceso de la política estructural de Microsoft, el vector de amenaza arquitectónica subyacente sigue sin resolverse. Nightmare Eclipse ha ignorado la rama de olivo corporativa, confirmando que múltiples desarrolladores independientes de exploits están ahora canalizando los fallos de seguridad no parcheados directamente hacia ellos para evitar por completo los conductos de notificación corporativos. El desarrollador seudónimo ya se ha burlado de un inminente Exploit de junio dirigido a las vulnerabilidades Vulnerabilidades del ciclo de vida de Secure Booty afirma que la próxima entrega de código eludirá por completo el cifrado de hardware BitLocker en máquinas virtuales operativas antes de una fecha límite de retribución prevista para mediados de verano.