Microsoft amenaza con acciones legales contra investigador que publica exploits zero-day

La respuesta de Microsoft invierte la dinámica tradicional de disclosure responsable. En lugar de agradecer al investigador y parchear rápido, amenazan con demandas. Eso sugiere que internamente no pueden parchear rápido (deuda técnica masiva) y prefieren intimidar al mensajero.

El precedente es peligroso. Si Microsoft normaliza «reportar bugs = riesgo legal», los investigadores simplemente venderán exploits en mercados grises o directamente a actores maliciosos. La amenaza legal destruye el incentivo para disclosure pública, que es el único mecanismo que obliga a vendors lentos a actuar.

El contexto más amplio: Microsoft está bajo presión regulatoria por seguridad (el hack de SolarWinds, las brechas de Exchange) y probablemente teme que más revelaciones públicas alimenten narrativa de «Microsoft no puede asegurar su software». Pero la estrategia de silenciar investigadores solo funciona a corto plazo. A largo plazo, erosiona confianza y empeora la postura de seguridad real.