Microsoft aclara que no demandará a investigadores de seguridad en medio de la controversia Nightmare-Eclipse
Resumen Informativo
De acuerdo a la publicación titulada Microsoft aclara que no demandará a investigadores de seguridad en medio de la controversia Nightmare-Eclipse, difundida en fecha 01/06/2026 06:50, por el medio Cybersecuritynews (Autor: Guru Baran):
Microsoft ha aclarado su postura, reduciendo las preocupaciones sobre posibles amenazas legales y reafirmando su compromiso con la divulgación coordinada de vulnerabilidades, tras una fuerte reacción de la comunidad de investigadores de seguridad. En una declaración cuidadosamente redactada publicada a finales de mayo de 2026, el Centro de Respuesta de Seguridad de Microsoft (MSRC) indicó que “no tiene intención de emprender acciones contra personas que realicen o publiquen investigaciones de seguridad”.
La declaración se produjo días después de una publicación del blog del MSRC el 28 de mayo, en la que Microsoft condenó a un investigador conocido como Nightmare Eclipse por divulgar seis vulnerabilidades de día cero en Windows sin coordinación previa. Esta comunicación fue ampliamente interpretada como una advertencia legal general hacia los investigadores que omiten los canales oficiales.
Microsoft protege a los investigadores de buena fe
La controversia se centra en Nightmare Eclipse, también conocido como Chaotic Eclipse, quien publicó de forma pública código de prueba de concepto funcional para seis vulnerabilidades de Windows entre abril y mediados de mayo de 2026. Las fallas, denominadas BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma, afectaban componentes centrales de Windows, incluyendo Microsoft Defender y el cifrado BitLocker.
La Unidad de Delitos Digitales de Microsoft deshabilitó las cuentas de Nightmare Eclipse en GitHub, GitLab y el portal de investigadores MSRC tras la publicación de múltiples vulnerabilidades de día cero.
Microsoft reafirmó que la divulgación coordinada de vulnerabilidades (CVD) sigue siendo la base para proteger a los clientes y mejorar sus productos, y reiteró que continuará recibiendo informes de vulnerabilidades de todos los investigadores a través de su portal público, independientemente de interacciones pasadas. Esto envía un mensaje claro de que disputas como la del caso Nightmare Eclipse no deberían desalentar la notificación responsable de fallos de seguridad. Seminario web gratuito sobre OWASP API Top 10 y guía para cerrar brechas de visibilidad con WAAP. La publicación "Microsoft aclara que no demandará a investigadores de seguridad en medio de la controversia Nightmare-Eclipse" apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Microsoft aclara que no demandará a investigadores de seguridad en medio de la controversia Nightmare-Eclipse |
| Publicado: | 01/06/2026 06:50 |
| Enlace: | https://cybersecuritynews.com/microsoft-clarifies-nightmare-eclipse-controversy |
| Consultado: | 01/06/2026 |
