El investigador de seguridad Ammar Askar publicó el pasado 4 de junio un exploit de prueba de concepto capaz de robar tokens de acceso de GitHub, en un movimiento que ha generado controversia en la comunidad de ciberseguridad. Askar justificó la publicación alegando deficiencias en el proceso de divulgación de vulnerabilidades de Microsoft, propietaria de la plataforma de desarrollo.

El exploit fue divulgado en el blog personal de Askar y en el sistema público de seguimiento de incidencias de Visual Studio Code. Según el investigador, apenas notificó al equipo de seguridad de GitHub con una hora de antelación antes de hacer público el código, un plazo que consideró insuficiente para que la compañía pudiera reaccionar.

Críticas al proceso de Microsoft

En su publicación, Askar señaló que la empresa no habría gestionado adecuadamente las comunicaciones previas sobre la vulnerabilidad, lo que motivó la decisión de liberar el código de forma unilateral. Este tipo de acciones, conocidas como divulgación completa (full disclosure), son habituales en el ámbito de la seguridad cuando un investigador considera que el fabricante no actúa con la debida celeridad.

El exploit, aunque de prueba de concepto, es funcional y podría ser utilizado por terceros con fines maliciosos. La filtración de tokens de GitHub permite a un atacante acceder a repositorios privados, modificar código o incluso suplantar la identidad del desarrollador en integraciones continuas.

Por el momento, Microsoft no ha emitido un comunicado oficial sobre la publicación del exploit ni sobre las acusaciones de Askar. La empresa mantiene un programa de recompensas por errores (bug bounty) que, según detractores, a menudo prioriza plazos largos de parcheado frente a la urgencia de la divulgación.

El Servicio Federal de Seguridad de Rusia (FSB) ha anunciado este martes, 2 de junio de 2026, que ha descubierto una operación a gran escala de piratería informática dirigida contra los teléfonos móviles de altos cargos del Estado ruso. Según el organismo, los servicios de inteligencia extranjeros habrían utilizado software malicioso para infiltrarse en los dispositivos, explotando vulnerabilidades de tipo zero day.

En un comunicado oficial, el FSB afirmó haber detectado la campaña de espionaje, aunque no identificó el país o los servicios de inteligencia a los que atribuye la operación. La agencia rusa calificó el ataque de «a gran escala» y señaló que los dispositivos infectados pertenecían a altos funcionarios, sin precisar cargos ni número de afectados.

La denuncia se produce en un contexto de creciente tensión entre Rusia y las potencias occidentales, que han acusado repetidamente a Moscú de llevar a cabo ciberataques y campañas de desinformación. El Kremlin, por su parte, ha denunciado en el pasado injerencias extranjeras en sus asuntos internos, aunque rara vez ha aportado pruebas detalladas.

El uso de vulnerabilidades zero day —fallos de seguridad desconocidos para el fabricante del software— sugiere un alto nivel técnico por parte de los atacantes, generalmente asociado a servicios de inteligencia estatales. El FSB no ha revelado qué sistemas operativos o aplicaciones fueron comprometidos, ni si se ha logrado identificar a los responsables.

La operación, según el FSB, fue detectada por sus propios servicios de contrainteligencia, que habrían intervenido para neutralizar la amenaza. No se han reportado filtraciones de datos ni consecuencias inmediatas para la seguridad nacional rusa, según la misma fuente.

El inspector general del Departamento de Comercio de Estados Unidos ha determinado que errores de gestión en el Instituto Nacional de Estándares y Tecnología (NIST) han dejado ineficaz la Base de Datos Nacional de Vulnerabilidades (NVD), un repositorio global clave para la ciberseguridad. El informe, publicado en junio de 2026, revela que el backlog de vulnerabilidades sin procesar se ha duplicado, pasando de 13.000 a más de 27.000 entre febrero de 2024 y finales de 2025.

La NVD, gestionada por el NIST, es la fuente primaria para que empresas, gobiernos y organismos de todo el mundo prioricen los parches de seguridad informática. Su retraso en la catalogación de vulnerabilidades conocidas como CVE (Common Vulnerabilities and Exposures) amplía la ventana de exposición a ataques, según advierte el informe de la oficina del inspector general.

El organismo califica la situación como una «undermining of public trust» (pérdida de confianza pública), ya que la acumulación de 27.000 vulnerabilidades sin procesar deja sin cobertura a miles de sistemas críticos que dependen de los datos actualizados de la NVD para aplicar parches de forma eficaz. El colapso, atribuido a fallos de gestión internos del NIST, comenzó a gestarse en febrero de 2024 y se ha acelerado desde entonces, según el informe.

El documento no ofrece detalles sobre posibles sanciones o planes de recuperación, pero subraya que la falta de resolución del backlog ha convertido a la NVD en un repositorio cada vez menos fiable. La situación afecta a la ciberseguridad global, ya que la base de datos es utilizada por defensores y atacantes por igual para identificar vulnerabilidades explotables.

Un investigador de seguridad no identificado ha publicado múltiples vulnerabilidades zero-day de Microsoft en la plataforma GitHub, propiedad de la propia compañía, acompañadas de código de prueba de concepto (PoC) funcional. La filtración, ocurrida el 29 de mayo, expone los fallos a atacantes y profesionales de la seguridad por igual, lo que ha provocado una dura reacción de Microsoft.

Según confirmó la empresa en un comunicado, el investigador ha amenazado con divulgar más vulnerabilidades sin parche. Microsoft calificó las publicaciones como «nunca justificables», argumentando que ponen en riesgo a los usuarios al facilitar ataques antes de que exista una solución oficial.

La acción del investigador se enmarca en el debate sobre las políticas de divulgación de vulnerabilidades. Al publicar el código en GitHub, el autor busca forzar a Microsoft a acelerar la publicación de parches, pero la compañía sostiene que este tipo de prácticas solo incrementan la ventana de exposición para los ciberdelincuentes.

Por el momento, Microsoft no ha detallado el número exacto de vulnerabilidades publicadas ni los productos afectados, aunque fuentes internas citadas por la prensa especializada señalan que podrían afectar a múltiples versiones del sistema operativo Windows y de la suite Office. Se recomienda a los administradores de sistemas revisar las alertas de seguridad y aplicar las mitigaciones disponibles hasta que se liberen los parches oficiales.

Este incidente reabre el debate sobre si la publicación de exploits sin parche es una herramienta legítima de presión o una irresponsabilidad que pone en peligro a millones de usuarios. Mientras tanto, la comunidad de ciberseguridad sigue de cerca la evolución del caso.