Microsoft amenaza con acciones legales a investigador que divulga exploits zero-day

El enfoque de Microsoft revela prioridades: proteger reputación sobre proteger usuarios. Amenazar legalmente a quien expone bugs en lugar de parchearlos rápido es la peor jugada de PR en seguridad.

Nightmare Eclipse sigue la tradición de disclosure activista. Publicar PoCs presiona a vendors lentos, pero también arma a atacantes. El debate ético es viejo; lo nuevo es que Microsoft —que predica «security by design» en su era de AI— reacciona como vendor legacy.

Esto importa para AI porque los mismos incentivos aplican: si alguien encuentra jailbreaks o data leakage en Copilot, ¿Microsoft parchea o demanda? La industria necesita coordinated disclosure maduro, no lawfare. Este caso sugiere que estamos lejos.