La reciente decisi\u00f3n de Microsoft sobre su programa de recompensas por errores (bug bounty) ha generado una ola de cr\u00edticas y especulaciones en la comunidad de ciberseguridad. A partir de julio de 2026, el Microsoft Security Response Center (MSRC) reemplazar\u00e1 su sistema tradicional de clasificaci\u00f3n por puntos con uno basado en las recompensas efectivas otorgadas a los investigadores. Este cambio se produce en un momento cr\u00edtico, justo cuando la controversia con el investigador conocido como Nightmare Eclipse est\u00e1 en su apogeo.<\/p>\n
Este periodo de transici\u00f3n plantea interrogantes sobre las intenciones de Microsoft. Al momento en que Nightmare Eclipse revel\u00f3 sus vulnerabilidades, el programa no solo estaba en fase de ajuste, sino que tambi\u00e9n el investigador podr\u00eda haber optado por el pago mediante el antiguo sistema de puntos. Esto sugiere que habr\u00eda oportunidades para comunicar sus hallazgos a trav\u00e9s de canales oficiales, pero las condiciones cambiantes podr\u00edan haber influido en su decisi\u00f3n.<\/p>\n
Seg\u00fan un an\u00e1lisis realizado por Barracuda Networks, uno de los exploits presentados por Nightmare Eclipse, llamado MiniPlasma, se basa en una falla previamente detectada por Google Project Zero en 2020. Este defecto, lamentablemente, no hab\u00eda sido corregido en las versiones de Windows 11. Este hecho ha revivido los debates sobre la efectividad de las pol\u00edticas de ciberseguridad de Microsoft.<\/p>\n
Kevin Beaumont, un investigador independiente y ex empleado de Microsoft, ha sido tajante en su cr\u00edtica hacia la forma en que la empresa ha manejado esta situaci\u00f3n. En su blog, Beaumont destac\u00f3 la falta de respuesta efectiva del MSRC ante las denuncias de vulnerabilidades, lo que ha llevado a la frustraci\u00f3n entre los investigadores de seguridad.<\/p>\n
A trav\u00e9s de la plataforma X, muchos otros profesionales en ciberseguridad, como vx-underground, han compartido sus propias experiencias con informes que han quedado sin respuesta por parte del MSRC. Estas narrativas destacan una posible desconexi\u00f3n entre Microsoft y los investigadores, sugiriendo que hay una necesidad urgente de mejorar la comunicaci\u00f3n y el reconocimiento dentro de la comunidad de ciberseguridad.<\/p>\n
La situaci\u00f3n actual plantea serias preguntas sobre la credibilidad y la efectividad de los programas de ciberseguridad de Microsoft. A medida que la industria avanza hacia un entorno digital m\u00e1s complejo y seguro, es esencial que las grandes corporaciones reconsideren sus estrategias de comunicaci\u00f3n y recompensa con los investigadores de seguridad. La falta de respuesta y la transici\u00f3n del programa podr\u00edan no solo afectar la confianza de los investigadores, sino tambi\u00e9n la seguridad de millones de usuarios a nivel global. La controversia entre Microsoft y Nightmare Eclipse es solo un indicio de un problema m\u00e1s amplio que debe ser abordado con urgencia.<\/p>\n