El gigante informático ha informado el pasado fin de semana en una conferencia de seguridad que no presentará demandas ante los hackers que busquen e informen responsablemente vulnerabilidades de sus aplicaciones online.
Generalmente los investigadores hacen la vista gorda cuando se topan con algún posible fallo de seguridad ya que nunca se sabe como reaccionarán las empresas. Muchas veces el profesional debe acceder un poco más allá de lo permitido, es decir cometer un delito informático para comprobar una vulnerabilidad y aunque su intensión no sea explotarla sino informarla para que sea reparada, termina siendo acusado y demandado por la empresa. En consecuencia son los hackers malintencionados los únicos que se dedican a encontrar fallas y explotarlas obviamente en su propio beneficio.
La nueva postura de Microsoft debería ser tomada como un ejemplo, la idea es lograr que los sitios sean más seguros y si alguien se toma la molestia de notificar una vulnerabilidad comprobada, las empresas deberían tomarlo como un favor y agradecerlo en vez de llamar a la policía.
Ver también:
Eric McCarty, el hacker demandado por informar un bug.
Más detallas sobre el caso McCarty (en inglés).