🛡 VULNERABILIDADES 🛡

El incidente Nightmare Eclipse demuestra que los conflictos entre investigadores y proveedores podrían no desaparecer jamás.

⏰7 de junio de 2026🛡CyberObservatorio

Idioma

◢ VULNERABILIDADES ◣

El incidente Nightmare Eclipse demuestra que los conflictos entre investigadores y proveedores podrían no desaparecer jamás.

⟫ 05/06/2026 ⟫ Matt Kapko

Fuente: CyberScoop

Microsoft ha reabierto viejas heridas y ha reavivado el debate sobre la divulgación de vulnerabilidades y la dinámica a menudo adversarial que esta genera entre los investigadores de seguridad y los proveedores. En las últimas semanas, se desató una controversia cuando Microsoft amenazó con acciones legales penales a un investigador de seguridad que divulgó públicamente una serie de vulnerabilidades de día cero, acompañadas de exploits de prueba de concepto. La compañía insistió en que no recibió información sobre estas vulnerabilidades antes de su publicación, añadiendo que los defectos no fueron divulgados de manera responsable, lo que puso a sus clientes en un riesgo innecesario.

El enfrentamiento público entre Microsoft y el investigador conocido como “Nightmare Eclipse”, cuya identidad no se ha podido confirmar ni contactar para obtener comentarios, ha causado consternación entre algunos profesionales de la seguridad. La contundente respuesta de Microsoft y la reacción resultante revivieron un punto de fricción entre los proveedores y los investigadores, quienes encuentran y reportan fallos en el software que ellos comercializan. Katie Moussouris, fundadora y CEO de Luta Security, comentó para CyberScoop que “la pelea se argumenta en términos de divulgación coordinada, pero la queja subyacente es personal y específica de una manera que la divulgación no debería ser, especialmente con un proveedor que lleva tanto tiempo en el negocio”.

Moussouris, quien fue una empleada de Microsoft durante un largo período y que lideró la relación con la comunidad de seguridad, además de haber creado el primer programa de recompensas de la compañía y haber ofrecido conferencias sobre este tema desde 2013, señaló que Microsoft ha reafirmado su falta de responsabilidad en toda esta saga. La compañía se negó a responder preguntas tras la controversia.

Nightmare Eclipse insinuó un colapso y un inminente enfrentamiento con el proveedor en una serie de publicaciones en su blog, que precedieron a la misiva de Microsoft sobre las vulnerabilidades RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma y MiniPlasma. Los atacantes pudieron explotar tres de las seis vulnerabilidades que Nightmare Eclipse hizo públicas antes de que Microsoft las parcheara.

El investigador alegó que Microsoft se negó a comunicarse, no les pagó ni les dio crédito por descubrir y reportar algunas de las vulnerabilidades, eliminó la cuenta que utilizaron en el Microsoft Security Response Center para divulgar los fallos y marcó su cuenta de GitHub para su eliminación. “Estás demostrando a todos que estás escalando activamente este conflicto”, escribieron antes de amenazar a Microsoft con una divulgación en julio que “se asegurará de que tus huesos estén hechos añicos ese día”.

Las características de los procesos de divulgación de vulnerabilidades adecuados son matizadas y a menudo se perciben de manera subjetiva. Andrew Morris, fundador y arquitecto principal de GreyNoise, enfatizó que cualquier danza exitosa entre los cazadores de errores y los proveedores depende de que ambas partes se encuentren a mitad de camino. Mientras que los proveedores deben corregir los defectos de software y priorizar la seguridad, Morris advirtió que la divulgación irresponsable de vulnerabilidades perjudica tanto a los respondedores de incidentes como a las posibles víctimas. “Personalmente, siento que este investigador está siendo extremadamente mezquino. Parece que tiene una cuenta pendiente”, afirmó.

Sin embargo, Morris también dejó claro que los proveedores tienen la responsabilidad de construir confianza con los investigadores. “Si realmente te importa ser el primero en conocer los errores en tu software, y no enterarte una vez que ya ha ocurrido un daño, o cuando alguien ya se ha visto afectado, entonces querrás cultivar esa confianza con la comunidad de seguridad”, añadió Morris.

Microsoft afirmó reconocer que la relación entre investigadores de seguridad y proveedores es crítica y, a veces, frágil. “Valoramos profundamente a la comunidad de seguridad y continuaremos tomando en serio sus comentarios”, declaró la empresa en una publicación en X. No obstante, la compañía se mantiene firme en su oposición a las circunstancias de las divulgaciones de Nightmare Eclipse, calificando sus acciones de ilegales, injustificables e irresponsables. “Cuando un individuo rompe la ley y se involucra en una actividad maliciosa que causa un daño real a nuestros clientes, colaboraremos con las autoridades pertinentes”, declaró Microsoft sin nombrar al investigador por su apodo. “Seguimos creyendo firmemente en la divulgación coordinada de vulnerabilidades como la base para proteger a nuestros clientes y mejorar nuestros productos. Sabemos que, dada la naturaleza de este trabajo, en ocasiones habrá malentendidos. Seguimos comprometidos a participar de buena fe y a proporcionar una experiencia respetuosa y profesional a todos los investigadores, independientemente de interacciones pasadas”.

Los investigadores de seguridad buscan defectos por diversas razones: pagos de recompensas, reconocimiento, credibilidad en la industria o simplemente la emoción que conlleva encontrar vulnerabilidades y lograr que se reparen. En su mejor momento, este proceso ocurre tras bambalinas, con parches lanzados y clientes advertidos antes de que se produzca la explotación. Este enfoque colaborativo ha arraigado y mejorado considerablemente, pero aún existen casos en los que los investigadores se sienten agraviados.

“La opinión pública no tiene idea de lo que ocurrió tras las cámaras para juzgar por qué un investigador que previamente había coordinado finalmente tuvo suficiente y decidió divulgar una vulnerabilidad de día cero”, comentó Moussouris. Por ello, es menos propensa a criticar las acciones de Nightmare Eclipse, añadiendo que “parecen alguien que necesita ayuda”. Sin embargo, la confianza se quiebra frecuentemente entre los investigadores de vulnerabilidades y los proveedores. A principios de esta semana, el investigador de seguridad Ammar Askar afirmó que su última interacción con el equipo de seguridad de Microsoft fue tan mala que decidió divulgar públicamente cualquier error que encuentre en VS Code en el futuro. Cumplió con esa amenaza al revelar una vulnerabilidad y un código de explotación para un defecto que permite a los atacantes robar tokens de GitHub.

Las acciones que afectan la confianza entre los proveedores de software y los investigadores de vulnerabilidades pueden tener consecuencias significativas en el ámbito de la ciberseguridad, aunque, en gran medida, las opciones de respuesta son limitadas. Según Moussouris, en la mayoría de los casos, los límites legales y éticos son claros para todas las partes implicadas. Los investigadores tienen la posibilidad de reportar fallos, retener información sobre ellos, vender sus descubrimientos o publicarlos. “La única línea roja es el crimen: utilizar una vulnerabilidad para extorsionar o atacar a personas”, afirma Moussouris.

Además, ella señala que “amenazar con publicar en una fecha establecida se considera una amenaza de divulgación, y la divulgación en sí es legal. Puede que el tono resulte desagradable, pero [Nightmare Eclipse] no rompió ninguna regla ni violó ningún deber”.

Es innegable que ambas partes tienen responsabilidad en el conflicto, aunque Morris considera que Microsoft ha agravado la situación. Las amenazas legales y un enfoque agresivo nunca han dado resultados positivos. Para construir una buena relación entre los investigadores y los proveedores, es fundamental mantener una comunicación abierta y generar confianza.

“Pensé que habíamos superado esta etapa. Resulta que no es así”, comenta Morris.

El incidente de Nightmare Eclipse se produce en un momento crítico para este sector. Los proveedores y sus clientes están enfrentando un aluvión de nuevas vulnerabilidades, además de que el auge de modelos de inteligencia artificial que las identifican está complicando aún más el panorama, lo que deja a los expertos en seguridad alarmados ante lo que está por venir.

Las perspectivas sobre dónde se descubrirán y explotarán las vulnerabilidades a continuación, así como su impacto, son inciertas y profundamente inquietantes.

Estos signos sugieren que el sistema clásico basado en CVE, que promueve procesos de divulgación responsable, podría estar fallando, según Morris. “Hay tantas CVEs que uno se pregunta: ¿esto realmente sigue funcionando?”

A pesar de sus fallos, los programas de divulgación coordinada de vulnerabilidades son considerados, por el momento, como el enfoque más sensato y escalable para enfrentar esta problemática.

“La divulgación coordinada es lo que sucede cuando un proveedor tiene suerte. Alguien que no han contratado les entrega un verdadero fallo en lugar de utilizarlo o venderlo. Esto pone toda la carga de mantener la coordinación sobre el proveedor”, explica Moussouris. “Parchear en silencio sin asignar una CVE y señalar a los investigadores que no siguen su cronograma de divulgación es desperdiciar la suerte del proveedor”.

Ella recalca la importancia de esta cuestión: “Espero que Microsoft y todos los proveedores comprendan que la divulgación coordinada de vulnerabilidades es un regalo y una gracia que la comunidad de investigadores de seguridad les ofrece, y que la divulgación pública siempre es preferible a la falta de divulgación o al crimen”.

Las alternativas a una relación deteriorada podrían causar estragos y dejar a cada proveedor y cliente más expuestos a ataques.

“Si los proveedores desaprenden cómo recibir con gratitud propiedad intelectual y trabajo gratuito de la comunidad de seguridad en forma de informes de vulnerabilidades, nos dirigimos hacia un mundo en el que nadie se molesta en advertir a los proveedores, o donde se adopta un modelo de divulgación programada que no concede ninguna gracia”, advierte Moussouris.

Concluye con un mensaje contundente: “Los proveedores de productos son los que escribieron el código vulnerable, asumen el riesgo y deben hacer todo lo posible para reducir ese riesgo en beneficio de sus usuarios”. Esto incluye “mantener sus quejas para sí mismos y aprender de la introspección sobre la divulgación coordinada de vulnerabilidades que ha salido mal”.

El incidente de Nightmare Eclipse revela que los conflictos entre investigadores y proveedores pueden no desaparecer nunca del todo.

◢ VULNERABILIDADES ◣

Nightmare Eclipse incident shows the researcher-vendor fights may never fully go away

⟫ 05/06/2026 ⟫ Matt Kapko

Source: CyberScoop

Microsoft reopened some wounds and has reignited debate over the past couple weeks about vulnerability disclosure and the sometimes adversarial dynamic it creates between security researchers and vendors. The latest controversy ensued when Microsoft threatened criminal legal action against a security researcher who publicly disclosed a series of zero-day vulnerabilities with proof-of-concept exploits. Microsoftinsisted it received no detailsabout the vulnerabilities prior to release, adding that the defects were not responsibly disclosed and put its customers at unnecessary risk. The public dispute between Microsoft and the researcher known as “Nightmare Eclipse,” who couldn’t be identified or reached for comment, sparked dismay among some security professionals. Microsoft’s forceful response and the resulting backlash revived a friction point between vendors and researchers who find and report flaws in the software they sell. “The fight is being argued as coordinated disclosure, but the grievance underneath is personal and specific in a way disclosure shouldn’t be, especially with a vendor that has been at it for so long,” Katie Moussouris, founder and CEO at Luta Security, told CyberScoop. “Microsoft seemed to get emotional and shouldn’t have publicly said anything, but somehow felt justified in calling out a researcher and involved law enforcement in the same breath,” she said. “That puts them right back in the first stages of vulnerability disclosure grief: denial and anger.” The former longtime Microsoft employee who ran outreach with the security community, created the company’s first bounty program and has givenconference talks on the subjectas far back as 2013, said the company doubled down on its lack of responsibility in the whole saga. Microsoft declined to answer questions in the wake of the fallout. Nightmare Eclipse hinted at a breakdown and impending battle with the vendor in a series of blog posts leading up to Microsoft’s missive about the vulnerabilitiesRedSun,UnDefend,BlueHammer,YellowKey, GreenPlasma, and MiniPlasma. Attackers exploited three of the six vulnerabilities Nightmare Eclipse released before they were patched by Microsoft. The researcher claimed Microsoft refused to communicate, didn’t pay or credit them for discovering and reporting some of the vulnerabilities, deleted the Microsoft Security Response Center account they used to disclose vulnerabilities and flagged their GitHub account for removal. “You are proving to everyone that you are actively escalating this conflict,” they wrote, before threatening Microsoft with a release in mid-July that “will make sure your bones are shattered that day.” The characteristics of proper vulnerability disclosure processes are nuanced and often framed in the eyes of the beholder. Any successful dance between bug hunters and vendors comes down to meeting each other halfway, said Andrew Morris, founder and chief architect of GreyNoise. While vendors must fix software defects and prioritize security, Morris noted that irresponsible vulnerability disclosure harms both incident responders and potential victims. “Personally, I feel like this researcher is being extremely petty. It seems like they have an ax to grind,” he said. “You’re not allowed to give somebody something and say it’s out of the kindness of your heart, and then be pissed when they don’t pay you for it.” But Morris also made clear that vendors bear responsibility for building trust with researchers. “If you actually care about being the first one to know about bugs in your software, not learning about it once harm has happened, or once somebody’s gotten popped, then you want to cultivate that trust with the security community,” Morris said. Microsoft said it recognizes that the relationship between security researchers and vendors is critical and, at times, fragile. “We deeply value the security community, and will continue to take your feedback seriously,” the company said in its poston X. Yet, the company remains steadfast in opposing the circumstances of Nightmare Eclipse’s disclosures, describing their actions as illegal, unjustifiable and irresponsible. “When an individual breaks the law and engages in malicious activity causing real harm to our customers, we will work with law enforcement as appropriate,” Microsoft said without naming the researcher by their moniker. “We continue to believe strongly in coordinated vulnerability disclosure as the foundation for protecting customers and improving our products. We know that, given the nature of this work, there will at times be misunderstandings. We remain committed to engaging in good faith and to providing a respectful and professional experience for all researchers, regardless of past interactions.” Security researchers seek out defects for various reasons: bounty payouts, recognition, industry credibility, or simply the thrill of the hunt that comes with finding vulnerabilities and getting them fixed. At its best, this process happens behind the scenes, with patches released and customers warned before exploitation occurs. This collaborative approach has taken root and improved considerably, but there are still cases where researchers feel slighted. “The public has no idea what went on behind the scenes to judge why a researcher that previously coordinated finally had enough and decided to drop a zero-day [vulnerability],” Moussouris said. As such, she’s less inclined to criticize Nightmare Eclipse’s actions, adding that “they come off as someone who needs help.” Yet, trust breaks down between vulnerability researchers and vendors often. Earlier this week, security researcher Ammar Askar claimed his last interaction with Microsoft’s security team was so poor that he decided to publicly disclose any bugs he finds in VS Code going forward. He made good on that threat bydropping a vulnerabilityand exploit code for a defect that allows attackers to steal GitHub tokens. While actions like this can sabotage trust and drive a wedge between vendors and vulnerability researchers, recourse to a large extent is limited. Moussouris said most of the time, the legal and ethical boundaries are clear to those involved. Researchers can report bugs, withhold them, sell them, or publish them. “The one red line is crime: using a flaw to extort or attack people,” Moussouris said. “Threatening to publish on a set date is a threat to disclose, and disclosure is lawful. You can find the tone ugly. [Nightmare Eclipse] still broke no rule and violated no duty.” Both sides are partly responsible for what happened, but Microsoft made things worse, Morris said. Threatening legal action and taking an aggressive approach have never worked. Building a good relationship between researchers and vendors requires open communication and trust. “I thought we were past this. It turns out that we are not,” he said. The Nightmare Eclipse incident comes at a fraught time in this space. Vendors and their customers are confronting a deluge of more vulnerabilities, and the rise of artificial intelligence models that discover them is exacerbating this challenge, leavingsecurity experts alarmed about what’s coming. The prospects for where vulnerabilities will be discovered and exploited next, and to what impact, are unknown and wildly unsettling. These signals imply that the classic, CVE-based system with responsibly disclosed processes is probably broken, Morris said. “There’s just so many CVEs. It’s like, is this even working anymore?” For now and despite all its faults, coordinated vulnerability disclosure programs are widely viewed as the most sensible and scalable approach to this dilemma. “Coordinated disclosure is what happens when a vendor gets lucky. Someone they did not hire hands them a real bug instead of using it or selling it. That puts the whole burden of keeping coordination alive on the vendor,” Moussouris said. “Silent patching with no CVE and calling out researchers who don’t follow your timeline for disclosure squanders the vendor’s luck.” She stressed the stakes: “I hope Microsoft and all vendors learn that coordinated vulnerability disclosure is a gift and a grace from the security researcher community to them, and public disclosure is still better than non-disclosure or crime.” The alternatives to a deteriorating relationship could wreak havoc and leave every vendor and customer more susceptible to attack. “If vendors unlearn how to receive free intellectual property and labor from the security community in the form of vulnerability reports with gratitude, we’re headed for a world where nobody bothers to give vendors any heads up, or they move to a timed disclosure model that gives no grace,” Moussouris said. She concluded with a direct message: “Product vendors wrote the vulnerable code, own the risk, and they owe it to their users to do everything in their power to reduce that risk.” That includes “keeping their grievances to themselves and learning from introspection on coordinated vulnerability disclosure gone wrong.” The postNightmare Eclipse incident shows the researcher-vendor fights may never fully go awayappeared first onCyberScoop.

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD