Microsoft publicó el 28 de mayo de 2026 un post en el blog de su Centro de Respuesta de Seguridad (MSRC) criticando a un investigador conocido como «Nightmare Eclipse» por publicar fallos de seguridad sin avisar primero a la empresa. Lo que parecía ser una disputa técnica sobre divulgación responsable escaló rápidamente cuando Microsoft mencionó a su Digital Crimes Unit como mecanismo de respuesta potencial, equivalente a amenazar con intervención policial.La comunidad de ciberseguridad lleva 48 horas en ebullición.Los fallos y lo que Microsoft no parchó a tiempoNightmare Eclipse publicó entre principios de abril y mediados de mayo de 2026 seis zero-days dirigidos a componentes centrales de Windows. Los nombres son parte del registro oficial de vulnerabilidades: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma y MiniPlasma. Varios permiten escalada de privilegios locales hasta nivel SYSTEM.Los productos afectados incluyen Windows Defender —el antivirus integrado de Windows— y BitLocker, la herramienta de cifrado de disco. Tres de los fallos ya habían sido explotados en ataques reales cuando Microsoft publicó su post, según confirmaron tanto la empresa como la agencia de ciberseguridad estadounidense CISA, que los añadió a su catálogo de vulnerabilidades explotadas activamente.Microsoft emitió parches de emergencia. La NCSC holandesa también publicó alertas técnicas. Las cuentas de GitHub y GitLab de Nightmare Eclipse fueron desactivadas alrededor del 23 y 26-27 de mayo respectivamente.El debate sobre divulgación: «responsible» vs. «coordinated»El núcleo del conflicto es viejo pero perenne: ¿tiene un investigador la obligación de avisar al fabricante antes de publicar un fallo de seguridad? Microsoft dice que sí. Nightmare Eclipse actuó como si la respuesta fuera no.Microsoft usó el término «responsible disclosure» (divulgación responsable) en su post para describir lo que debería haber hecho Nightmare Eclipse. Eso fue el primer error, según Katie Moussouris, fundadora de Luta Security y la persona que en los años 2000 convenció al propio Microsoft de adoptar los programas de bug bounty. «Invocar el término ‘responsible disclosure’ fue el primer golpe en mi libro», dijo a TechCrunch. «Añadir una amenaza de proceso penal mencionando la DCU fue excesivo, y solo resultará en que los investigadores de seguridad desconfíen de Microsoft.»La distinción importa: «responsible disclosure» implica que publicar antes de que haya parche es irresponsable. «Coordinated disclosure» —el término que la industria lleva años adoptando como más preciso— reconoce que la responsabilidad es compartida y que los plazos para parchear deben ser razonables. Moussouris fue quien convirtió a Microsoft de uno a otro en la época de sus programas de bug bounty.Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft, describió la posición de la empresa como «un dumpster fire de su propia creación»: «¿Crear código de proof-of-concept y distribuir zero-days es ‘actividad criminal’ ahora?»El contexto que explica la furia de la comunidadLa reacción no es solo a este caso. Decenas de investigadores han compartido en redes sociales sus experiencias negativas reportando fallos a Microsoft: tiempos de respuesta de meses o años, vulnerabilidades clasificadas incorrectamente como de «baja severidad» que después resultan ser críticas, y falta de reconocimiento o pago por reportes legítimos.Nightmare Eclipse no intentó coordinar con Microsoft antes de publicar. Eso es un hecho que el investigador no niega. La pregunta es si esa elección justifica una amenaza de denuncia policial o si la amenaza misma tendrá el efecto opuesto al deseado: disuadir a investigadores de reportar a Microsoft, dejando más fallos sin descubrir.«Si hay menos investigadores que vengan a reportar fallos, eso nos hace a todos menos seguros», advirtió Moussouris. El argumento es económico además de ético: Microsoft se beneficia enormemente del trabajo gratuito del ecosistema de investigadores independientes que encuentran y reportan vulnerabilidades. Amenazarlos con consecuencias legales pone en riesgo ese beneficio.La comunidad de ciberseguridad lleva meses señalando que los ataques con IA han pasado de fase experimental a despliegue criminal rutinario, lo que hace que la relación entre empresas tecnológicas y los investigadores que encuentran sus fallos sea más importante, no menos, que hace cinco años.Ni Nightmare Eclipse ni Microsoft respondieron a las peticiones de comentario de TechCrunch antes del cierre de la información.Mi valoraciónMicrosoft tiene razón en que publicar zero-days sin avisar antes facilita a los atacantes maliciosos explotar esos fallos antes de que los usuarios puedan protegerse. Tres de los fallos de Nightmare Eclipse ya estaban siendo explotados activamente cuando salieron los parches. Ese daño es real.Pero mencionar a la Digital Crimes Unit en el mismo post es un error estratégico mayúsculo. La DCU existe para perseguir a actores maliciosos —botnets, operadores de malware, ciberdelincuentes organizados—. Equiparar a un investigador de seguridad independiente con esa categoría es tanto técnicamente inexacto como políticamente contraproducente.Lo que más me preocupa es el efecto chilling: si Microsoft establece el precedente de que publicar zero-days sin coordinación equivale a «actividad criminal», otros investigadores que encuentren fallos tendrán incentivos para no reportarlos en absoluto —ni coordinar ni publicar— para evitar cualquier riesgo legal. Eso no mejora la seguridad de Windows; la empeora.La ciberseguridad en 2026 enfrenta una escalada de ataques que no distingue entre empresas bien gobernadas y mal gobernadas. Microsoft no puede permitirse que la comunidad de investigadores independientes —que actúa como una auditoría gratuita permanente de su seguridad— perciba a la empresa como adversaria.Preguntas frecuentes¿Qué es la divulgación coordinada de vulnerabilidades y cuál es el estándar del sector?La divulgación coordinada es el proceso por el que un investigador que encuentra un fallo de seguridad notifica primero al fabricante, le da un plazo razonable (generalmente 90 días) para desarrollar un parche, y publica los detalles técnicos después de que el parche esté disponible. El plazo estándar de 90 días fue establecido por Google Project Zero y adoptado por la mayoría del sector. Si el fabricante no parcheay el plazo se agota, el investigador publica igualmente.¿Qué es la Digital Crimes Unit de Microsoft?La DCU (Digital Crimes Unit) es una unidad de Microsoft dedicada a investigar y perseguir ciberdelincuentes: operadores de botnets, distribuidores de malware, grupos de ransomware. Ha coordinado con el FBI y Europol en operaciones contra infraestructura criminal. Su mención en el contexto de un investigador de seguridad independiente es lo que la comunidad de ciberseguridad considera desproporcionado.¿Puede un investigador de seguridad ser procesado penalmente por publicar zero-days?En EE.UU., la Computer Fraud and Abuse Act (CFAA) y el Digital Millennium Copyright Act (DMCA) han sido usados históricamente contra investigadores. La ley es ambigua: publicar código de explotación puede en teoría violar la CFAA si se usa para «causar daño». En la práctica, los casos contra investigadores que actúan de buena fe son raros, pero la amenaza legal tiene un efecto disuasorio real independientemente de si prospera.La noticia Microsoft amenaza con llamar a la policía a un investigador que publicó vulnerabilidades sin parchear: la comunidad de ciberseguridad responde con furia fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.