El investigador de seguridad Ammar Askar publicó el pasado 4 de junio un exploit de prueba de concepto capaz de robar tokens de acceso de GitHub, en un movimiento que ha generado controversia en la comunidad de ciberseguridad. Askar justificó la publicación alegando deficiencias en el proceso de divulgación de vulnerabilidades de Microsoft, propietaria de la plataforma de desarrollo.

El exploit fue divulgado en el blog personal de Askar y en el sistema público de seguimiento de incidencias de Visual Studio Code. Según el investigador, apenas notificó al equipo de seguridad de GitHub con una hora de antelación antes de hacer público el código, un plazo que consideró insuficiente para que la compañía pudiera reaccionar.

Críticas al proceso de Microsoft

En su publicación, Askar señaló que la empresa no habría gestionado adecuadamente las comunicaciones previas sobre la vulnerabilidad, lo que motivó la decisión de liberar el código de forma unilateral. Este tipo de acciones, conocidas como divulgación completa (full disclosure), son habituales en el ámbito de la seguridad cuando un investigador considera que el fabricante no actúa con la debida celeridad.

El exploit, aunque de prueba de concepto, es funcional y podría ser utilizado por terceros con fines maliciosos. La filtración de tokens de GitHub permite a un atacante acceder a repositorios privados, modificar código o incluso suplantar la identidad del desarrollador en integraciones continuas.

Por el momento, Microsoft no ha emitido un comunicado oficial sobre la publicación del exploit ni sobre las acusaciones de Askar. La empresa mantiene un programa de recompensas por errores (bug bounty) que, según detractores, a menudo prioriza plazos largos de parcheado frente a la urgencia de la divulgación.

Un investigador de seguridad no identificado ha publicado múltiples vulnerabilidades zero-day de Microsoft en la plataforma GitHub, propiedad de la propia compañía, acompañadas de código de prueba de concepto (PoC) funcional. La filtración, ocurrida el 29 de mayo, expone los fallos a atacantes y profesionales de la seguridad por igual, lo que ha provocado una dura reacción de Microsoft.

Según confirmó la empresa en un comunicado, el investigador ha amenazado con divulgar más vulnerabilidades sin parche. Microsoft calificó las publicaciones como «nunca justificables», argumentando que ponen en riesgo a los usuarios al facilitar ataques antes de que exista una solución oficial.

La acción del investigador se enmarca en el debate sobre las políticas de divulgación de vulnerabilidades. Al publicar el código en GitHub, el autor busca forzar a Microsoft a acelerar la publicación de parches, pero la compañía sostiene que este tipo de prácticas solo incrementan la ventana de exposición para los ciberdelincuentes.

Por el momento, Microsoft no ha detallado el número exacto de vulnerabilidades publicadas ni los productos afectados, aunque fuentes internas citadas por la prensa especializada señalan que podrían afectar a múltiples versiones del sistema operativo Windows y de la suite Office. Se recomienda a los administradores de sistemas revisar las alertas de seguridad y aplicar las mitigaciones disponibles hasta que se liberen los parches oficiales.

Este incidente reabre el debate sobre si la publicación de exploits sin parche es una herramienta legítima de presión o una irresponsabilidad que pone en peligro a millones de usuarios. Mientras tanto, la comunidad de ciberseguridad sigue de cerca la evolución del caso.