Microsoft critica las divulgaciones públicas de vulnerabilidades cero días tras la eliminación de cuenta de investigador
Microsoft ha expresado su fuerte desacuerdo con las divulgaciones públicas de vulnerabilidades cero días (un tipo de falla crítica que puede ser explotada antes de ser corregida), tras la reciente eliminación de la cuenta de un investigador en GitHub. El investigador, conocido como Chaotic Eclipse, reveló múltiples vulnerabilidades en componentes de Windows, como Defender y BitLocker, lo que ha generado preocupación sobre la seguridad de los usuarios.
Cómo funciona el ataque
Las vulnerabilidades divulgadas incluyen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) y UnDefend (CVE-2026-45498). Estas fallas han estado bajo explotación activa, lo que significa que atacantes pueden aprovecharlas para acceder a sistemas vulnerables. Microsoft ha instado a los investigadores a seguir un proceso de Divulgación Coordinada de Vulnerabilidades (CVD), en el que las empresas son notificadas antes de que se haga pública la información.
- Las vulnerabilidades pueden comprometer la seguridad de los sistemas y datos de los usuarios.
- Microsoft asegura que la divulgación sin aviso previo pone a sus clientes en riesgo innecesario.
A quién afecta
Esta situación afecta a millones de usuarios de Windows en todo el mundo, ya que las vulnerabilidades pueden ser utilizadas por delincuentes cibernéticos para realizar ataques. La falta de comunicación entre investigadores y empresas puede resultar en un aumento de riesgos para la seguridad personal y empresarial.
Qué significa esto para ti
Para los usuarios y empresas, es crucial estar atentos a las actualizaciones de seguridad que Microsoft lance para mitigar estos problemas. Además, se deben seguir buenas prácticas de seguridad, como mantener el software actualizado y ser cautelosos con los enlaces y archivos desconocidos. La situación subraya la importancia de una colaboración efectiva entre los investigadores de seguridad y las empresas para proteger a todos.