Microsoft borra cuenta GitHub por zero-days sin CVD

Qué pasa

Microsoft eliminó la cuenta de GitHub del investigador de seguridad Chaotic Eclipse (alias Nightmare-Eclipse) después de que publicara múltiples zero-days que afectan a productos Microsoft sin seguir el proceso de CVD (Coordinated Vulnerability Disclosure — aviso privado al vendor antes de hacer pública la vulnerabilidad).

Poco después, Microsoft publicó un comunicado oficial defendiendo la CVD y pidiendo a los investigadores que den al vendor tiempo suficiente para entender el impacto y preparar un parche antes de la divulgación pública.

El detalle que convierte esto en un problema estructural: Microsoft es propietaria de GitHub desde 2018. Usar esa plataforma para suspender la cuenta de quien reporta bugs en sus propios productos es un conflicto de intereses directo, no un asunto de política de plataforma.

Los detalles técnicos de las vulnerabilidades concretas no han salido completos todavía. Lo que está claro es que el investigador optó por divulgación pública total — posiblemente tras falta de respuesta o respuesta insatisfactoria del vendor.

Por qué importa

El debate full disclosure vs CVD no es nuevo, pero este caso tiene tres matices que lo hacen distinto:

1. El vendor es también la plataforma. Microsoft no solo puede parchear o ignorar una vulnerabilidad — también puede borrar la cuenta del investigador que la publicó. Ese poder asimétrico no existía hace diez años. 2. Efecto disuasorio real. Otros investigadores verán esto y pensarán dos veces antes de publicar zero-days de Microsoft en GitHub, aunque hayan seguido el proceso de CVD correctamente. 3. Legitimidad del proceso. Cuando el vendor usa su posición de plataforma para presionar, el argumento de que la CVD es un acuerdo de buena fe entre partes iguales se cae solo.

El estándar de la industria es la ventana de 90 días de Google Project Zero: si el vendor no actúa en ese plazo, la divulgación pública es legítima. Lo que todavía no sabemos es si ese proceso se siguió aquí.

Qué hacer

• Si eres investigador: documenta todo el proceso de reporte — timestamps, emails, respuestas del vendor — antes de publicar nada. Esa documentación te protege legalmente y ante la comunidad.
• Si publicas en GitHub: recuerda que Microsoft es el dueño. Para disclosures sensibles sobre productos Microsoft, considera plataformas neutras: tu propio blog, la FullDisclosure mailing list o bases de datos de vulnerabilidades independientes.
• Si gestionas un SOC (Security Operations Center — equipo que monitoriza y responde a incidentes de seguridad): monitoriza los canales de full disclosure aunque no haya CVE asignado todavía. Los zero-days sin CVE son visibles antes que el parche.
• Revisa las políticas de uso de GitHub si publicas investigación de vulnerabilidades sobre cualquier empresa que tenga presencia en la plataforma.

Microsoft tiene todo el derecho a defender la CVD. Lo que no puede hacer de forma creíble es defender un proceso de buena fe mientras usa su ownership de la mayor plataforma de código del mundo como herramienta de presión.