Microsoft ha criticado la divulgación pública de fallos de seguridad de día cero, justo después de eliminar la cuenta de un investigador en GitHub. Esta acción afecta directamente a los usuarios comunes, ya que retrasa la corrección de vulnerabilidades en software cotidiano como Windows u Office. La protección digital depende de un equilibrio entre transparencia y control corporativo.
El coste de silenciar a los investigadores 🔍
Cuando una empresa elimina la cuenta de un investigador que reporta fallos, se genera un efecto disuasorio. Otros expertos dudan antes de compartir vulnerabilidades críticas. Esto alarga los plazos de corrección, dejando expuestos a millones de usuarios. Sin acceso público a la información, los parches tardan más en llegar. El ciclo de actualización se ralentiza, y los ciberdelincuentes aprovechan la ventana de oportunidad. La seguridad no mejora con menos datos, sino con más colaboración.
El parche que nunca llegó (porque borraron al mensajero) 🛡️
Parece que Microsoft prefiere matar al mensajero antes que leer el mensaje. Si un investigador encuentra un error crítico en Office, mejor borrar su cuenta de GitHub y luego quejarse de que la gente lo cuenta. Así, en lugar de un parche rápido, los usuarios reciben un comunicado corporativo y la esperanza de que el próximo zero-day no sea el que les vacíe la cuenta bancaria. Menos mal que la seguridad es lo primero.