Ahora incluye vulnerabilidades activamente explotadas, cuentas eliminadas, amenazas legales y una comunidad de ciberseguridad que acusa a la empresa de intentar silenciar a quien expuso fallas críticas.

Una de las controversias más intensas del año dentro del mundo de la seguridad informática tiene como protagonistas a Microsoft y a un investigador que opera bajo los nombres Nightmare Eclipse o Chaotic Eclipse.

Durante las últimas semanas, el investigador publicó múltiples vulnerabilidades de día cero (0-day) que afectan componentes sensibles del ecosistema Windows, incluyendo Microsoft Defender, BitLocker y otros mecanismos de seguridad integrados en el sistema operativo. Varias de esas fallas fueron acompañadas por pruebas de concepto funcionales, permitiendo que otros investigadores (y potencialmente actores maliciosos) pudieran reproducir los ataques.

Microsoft respondió públicamente condenando la divulgación y calificándola como una conducta irresponsable que puso en riesgo a los usuarios. La compañía incluso mencionó la posible intervención de su Digital Crimes Unit, una referencia que muchos interpretaron como una advertencia de posibles acciones legales o criminales contra el investigador.

De la divulgación responsable a la guerra abierta

La versión de Microsoft sostiene que las vulnerabilidades fueron publicadas sin respetar los procesos de coordinación habituales que permiten desarrollar parches antes de que la información se haga pública. Según la empresa, varias de esas fallas terminaron siendo utilizadas en ataques reales después de la divulgación.

Pero Nightmare Eclipse cuenta una historia muy diferente.

Según diversas publicaciones atribuidas al investigador, Microsoft habría revocado previamente el acceso a su cuenta del Microsoft Security Response Center (MSRC), el portal utilizado para reportar vulnerabilidades. También afirma que sus intentos de comunicación fueron ignorados y que nunca recibió compensaciones económicas por algunos de los hallazgos reportados.

Tras la escalada pública, las cuentas utilizadas para publicar las investigaciones fueron suspendidas tanto en GitHub —propiedad de Microsoft— como posteriormente en GitLab.

El resultado fue un conflicto que rápidamente dejó de tratarse únicamente de vulnerabilidades para convertirse en una discusión mucho más amplia sobre poder corporativo, programas de bug bounty y la relación entre grandes tecnológicas e investigadores independientes.

Las fallas que encendieron la polémica

Entre los exploits publicados aparecen nombres como BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma y MiniPlasma. Algunas afectan mecanismos defensivos de Windows y otras apuntan a componentes de protección como BitLocker.

Uno de los casos más comentados fue YellowKey, una técnica que permitiría acceder a discos protegidos con BitLocker mediante el entorno de recuperación de Windows (WinRE). Microsoft reconoció la vulnerabilidad y la identificó como CVE-2026-45585, aunque cuestionó la publicación pública del exploit antes de contar con una corrección definitiva.

Investigadores externos también advirtieron que varias de las vulnerabilidades divulgadas podrían encadenarse para construir cadenas de ataque mucho más peligrosas que cada falla individual por separado.

La comunidad de seguridad se divide

Lo más llamativo del caso es que gran parte de la reacción negativa no estuvo dirigida contra el investigador, sino contra Microsoft.

Figuras históricas del ecosistema de divulgación coordinada señalaron que amenazar con acciones legales puede generar un efecto contrario al buscado: menos investigadores dispuestos a reportar vulnerabilidades y menos confianza en los programas oficiales de reporte.

También reapareció una vieja discusión dentro de la industria: ¿qué ocurre cuando un investigador considera que un proveedor ignoró sus reportes o manejó mal el proceso? ¿Sigue existiendo una obligación moral de esperar indefinidamente una solución?

Durante años, la industria impulsó los programas de recompensas y la llamada coordinated disclosure como una forma de equilibrar los intereses de empresas e investigadores. El caso Nightmare Eclipse muestra que ese equilibrio puede romperse rápidamente cuando desaparece la confianza entre ambas partes.

Un problema cada vez más estratégico

Más allá de quién tenga razón en este conflicto específico, el episodio expone una tensión creciente en la industria tecnológica.

Las plataformas dependen cada vez más de investigadores externos para identificar vulnerabilidades complejas. Sin embargo, esos mismos investigadores suelen depender de programas controlados por las propias empresas que evalúan, validan y recompensan sus hallazgos.

Cuando esa relación se deteriora, el resultado puede ser exactamente el escenario que hoy enfrenta Microsoft: vulnerabilidades críticas publicadas sin coordinación, usuarios expuestos y una discusión pública que ya no gira únicamente en torno a la seguridad técnica, sino también al control de la información y al poder que ejercen las grandes plataformas sobre quienes las auditan.

En un contexto donde Windows sigue siendo una pieza crítica de infraestructura digital global, la pregunta ya no es solamente cómo se descubren los 0-days. La pregunta es quién decide cuándo pueden ser conocidos por el resto del mundo.