Muchas veces los investigadores hacen públicas las vulnerabilidades de día cero que involucran algunos componentes críticos de Windows como Microsoft Defender, BitLocker y otros elementos del sistema operativo.
Y es un tema bastante controvertido:
Por un lado, la divulgación de vulnerabilidades puede ayudar a llamar la atención a Microsoft sobre los defectos graves para que puedan ser corregidos lo antes posible.
Ya lo dice el refrán: Más ven cuatro ojos que dos.
Pero cuando los detalles técnicos se hacen públicos demasiado pronto, los atacantes pueden usarlos para apuntar a usuarios y empresas antes de que se instalen las correcciones a gran escala.
Windows es uno de los sistemas operativos más utilizados del mundo. Tanto por particulares como por empresas.
Por lo tanto, incluso una sola vulnerabilidad divulgada públicamente puede tener efectos amplificados.
Cuando los defectos afectan a las herramientas de seguridad o a las funciones de protección de datos, como Defender y BitLocker, no solo se trata de la integridad del sistema, sino también de la confidencialidad de la información y la resistencia a los ataques dirigidos.
En cualquier caso esta historia pone de relieve un problema recurrente: la diferencia entre la divulgación responsable y la exposición pública.
Revelar defectos puede ser útil, pero la forma y el tiempo de divulgación importan mucho.
No es lo mismo informar de manera responsable para que las empresas puedan tomar medidas, que hacer públicas las vulnerabilidades en foros o sitios como GitHub o GitLab.
Especialmente si todavía no existe un parche y la información técnica acaba circulando rápidamente entre los grupos criminales o los usuarios no han tenido tiempo de aplicar las correcciones.
Sin lugar a dudas una vulnerabilidad no parcheada puede explotarse activamente lo que hace que la situación sea particularmente grave.
Por lo tanto, según Microsoft la práctica estándar debería ser:
- Un investigador descubre una vulnerabilidad.
- La reporta a Microsoft.
- La notifica a uno o varios proveedores en privado.
- Eso da tiempo a Microsoft para solucionar el problema.
- Una vez encontrada la solución la vulnerabilidad de hace pública.
Entonces, ¿la divulgación pública es necesaria o supone un peligro?
Microsoft acostumbra a trabajar con un protocolo estándar de gestión de vulnerabilidades:
- Diagnóstico interno.
- Determinación de la gravedad.
- Desarrollo de parches.
- Una ventana de notificación de 90 días para clientes y partes interesadas.
Entre enero y abril de 2026, Microsoft parcheó muchas vulnerabilidades críticas. Pero entre parche y parche fueron explotadas activamente.
Según Microsoft la revelación pública de estas vulnerabilidades es un acto irresponsable porque compromete seriamente la seguridad de sus usuarios.
En lugar de que los investigadores publiquen sus hallazgos de forma independiente la compañía aboga por una divulgación coordinada.
En principio esto suena a colaboración y respeto mutuo, pero algunos investigadores han compartido sus experiencias negativas a la hora de tratar de reportar errores a la compañía.
Entre otras cosas afirman que Microsoft tiene unos procedimientos demasiado burocráticos que dificultan bastante la rápida denuncia de vulnerabilidades.
También dicen que muchas veces las solicitudes quedan sin respuesta.
Otras veces como en el caso de Chaotic Eclipse Microsoft responde invocando a su Unidad de Crímenes Digitales.
Afortunadamente, la sangre no llego al río. Después de una reacción pública uniformemente negativa se echaron para atrás.
En cualquier caso, amenazar a los investigadores con abogados no es precisamente una señal de buena voluntad.
Conclusión
Entendemos que a Microsoft no le haga ninguna gracia que estos imponderables circulen por el medio silvestre. A cualquier persona con dos dedos de frente tampoco.
Pero la comunidad de ciberseguridad es indispensable para encontrar estos errores antes de que lo hagan los delincuentes.
En este sentido la difusión responsable de vulnerabilidades de día cero es necesaria. Pero no debería publicarse en cualquier sitio.
Hacerlas públicas entraña cierto riesgo, ya que estas revelaciones pueden propiciar ataques efectivos a sistema vulnerables.
En cualquier caso la forma más sensata de reducir la exposición a amenazas que afectan a los componentes clave del sistema operativo es actualizar, verificar y estar informado.
- Mantener el dispositivo actualizado con todos los parches disponibles.
- Comprobar que Windows Update está funcionando correctamente.
- En ciberseguridad estar informado sobre las últimas vulnerabilidades conocidas es esencial.
