Microsoft suspende cuentas de desarrolladores de importantes proyectos de código abierto

 (bleepingcomputer.com)
2 puntos por GN⁺ 18 일 전 | 1 comentarios | Compartir por WhatsApp
  • Microsoft suspendió sin aviso previo las cuentas de desarrolladores de importantes proyectos de código abierto, como WireGuard, VeraCrypt, MemTest86 y Windscribe VPN, lo que interrumpió la distribución de compilaciones para Windows y parches de seguridad
  • Las cuentas suspendidas eran cuentas de socios del Windows Hardware Program, y no se proporcionó un proceso de recuperación ni un medio de reactivación rápida
  • Los desarrolladores de VeraCrypt y WireGuard afirmaron que sus cuentas fueron bloqueadas sin advertencia ni correo electrónico, y que el contacto con el equipo de soporte se limitó a respuestas automáticas
  • Microsoft explicó que se trató de una suspensión automática por no completar el procedimiento obligatorio de verificación de cuentas, y luego prometió ayudar a restaurar algunas cuentas y mejorar la comunicación
  • En la comunidad se criticó la ineficiencia del proceso de apelación y la falta de apoyo a los desarrolladores, además de expresar preocupación porque se vieran afectados proyectos clave de código abierto

Polémica por la suspensión de cuentas de desarrolladores open source por parte de Microsoft

  • Microsoft suspendió sin previo aviso las cuentas de desarrolladores de importantes proyectos de código abierto, lo que dejó interrumpida la distribución de nuevas compilaciones y parches de seguridad para Windows
    • Las cuentas suspendidas eran cuentas de socios del Windows Hardware Program, y no se proporcionó un proceso de recuperación ni un medio de reactivación rápida
  • Entre los proyectos afectados están WireGuard, VeraCrypt, MemTest86 y Windscribe VPN
    • Estos proyectos han utilizado cuentas de Microsoft para la firma de controladores de Windows y la firma de bootloaders
  • Mounir Idrassi, desarrollador de VeraCrypt, dijo que su cuenta, que llevaba años usando, fue cerrada sin previo aviso, y que solo recibió la notificación sin correo ni advertencia previa, además de que no podía apelar
    • Explicó que intentó contactar al equipo de soporte de Microsoft por varias vías, pero solo recibió respuestas automáticas y bots, sin lograr comunicarse con un responsable real
    • Mencionó que puede seguir publicando actualizaciones para Linux y macOS, pero que el golpe es grande porque la mayoría de los usuarios usa Windows
  • Jason A. Donenfeld, mantenedor de WireGuard, también dijo que “su cuenta fue suspendida apenas inició sesión, sin advertencia ni notificación”, y que está siguiendo un proceso de apelación de 60 días
    • Señaló el riesgo al decir que “si WireGuard hubiera tenido una vulnerabilidad crítica de ejecución remota de código (RCE), no habría sido posible distribuir un parche de inmediato”
    • Los equipos de desarrollo de Windscribe y MemTest86 también reportaron que no pudieron contactar al soporte de Microsoft durante varias semanas

Explicación de Microsoft y medidas posteriores

  • Después del reporte de TechCrunch, el vicepresidente de Microsoft Scott Hanselman explicó que esas cuentas fueron suspendidas automáticamente por no haber completado el proceso obligatorio de verificación de cuentas del Windows Hardware Program
    • Dijo que este proceso de verificación aplica a socios que no lo habían completado desde abril de 2024, y que fue notificado por correo electrónico a partir de octubre de 2025
    • Según un aviso del Hardware Dev Center publicado el 1 de octubre de 2024, si la verificación no se completa en 30 días, se aplica una suspensión automática
  • En una actualización del 30 de marzo de 2026, Microsoft dejó indicado que “las cuentas que no completen la verificación serán suspendidas del Windows Hardware Program y ya no podrán hacer envíos”
    • BleepingComputer envió preguntas adicionales a un portavoz de Microsoft, pero aún no había recibido respuesta
  • Más tarde, Hanselman contactó directamente a Idrassi, desarrollador de VeraCrypt, para ayudar a restaurar la cuenta, e Idrassi comentó que “la cobertura de prensa y la difusión en redes sociales impulsaron la respuesta de Microsoft
    • Pavan Davuluri, EVP de Windows and Devices en Microsoft, dijo que “intentaron hacer que los socios conocieran este proceso mediante correos, banners y recordatorios, pero algunos lo pasaron por alto”, y añadió que mejorarán la forma de comunicarse

Reacción de la comunidad

  • Algunos usuarios señalaron que “aunque desarrolles software incluido en productos de Microsoft, da miedo la realidad de no poder hablar directamente con una persona cuando surge un problema
  • Otra opinión criticó que “el proceso de apelación es excesivamente complejo e ineficiente y que es problemático que un proyecto clave como WireGuard se vea afectado”
  • Algunos también dejaron reacciones positivas, diciendo que “Scott Hanselman al menos sí es una persona en la que se puede confiar”

Lecturas relacionadas

1 comentarios

 
GN⁺ 18 일 전
Comentarios de Hacker News

  • Se habla del incidente discutido ayer en el que Microsoft cerró la cuenta de VeraCrypt y se interrumpieron las actualizaciones de Windows
    También vale la pena revisar el hilo anterior, que incluye las opiniones de desarrolladores y una actualización posterior de Microsoft

  • Microsoft envía con demasiada frecuencia correos con “Action required” en el asunto
    En realidad, la mayoría de las veces no hace falta hacer nada, o ni siquiera tiene que ver conmigo
    Si buscas esos correos, encuentras montones de casos en los que al final no había que hacer absolutamente nada

    • Al abusar así de las alertas, como en el cuento de Pedro y el lobo, hace que incluso los mensajes realmente importantes terminen siendo ignorados
    • Antes participé en el programa para startups de Microsoft, pero Azure cobraba demasiado y la interfaz era un desastre
      Los servicios se activaban solos y ni siquiera podías encontrarlos hasta que llegaba la factura
      Han pasado 2 años desde que dejé el programa y todavía me siguen llegando correos de “Action required”
      GitHub Desktop es parecido: en macOS no se puede desactivar la actualización automática y todos los días pide privilegios de administrador
      Creo que este tipo de hostigamiento al usuario debería prohibirse por ley
    • Mi carpeta de spam está llena de correos de “Action Required”
      La mayoría son phishing, así que ni siquiera abro los correos reales de Microsoft
    • Una vez abrí un ticket de soporte porque uno de esos correos era tan confuso que no se entendía, y ni el propio personal de Microsoft sabía a qué recurso se refería
    • En la capacitación de concientización sobre seguridad me enseñaron que los correos con “Action required” en el asunto son phishing

  • Microsoft dijo que a raíz de este caso revisará cómo mejorar la comunicación,
    pero suena como si un Vogon destruyera la Tierra y luego dijera “la próxima lo haremos mejor”

  • En la industria tecnológica, la seguridad muchas veces no pasa de ser una puesta en escena
    Su propósito real suele ser empujar políticas incómodas, como el control de acceso o la invasión de la privacidad
    Incluso los procesos de firma terminan dejando todo el poder de un lado, y ese poder siempre se termina abusando

    • Hay gente que piensa que, en vez de evitar fallas, es mejor trasladar la responsabilidad mediante seguros
    • La mayor parte de la seguridad es un desastre, pero eso no significa que la seguridad en sí sea innecesaria
      El verdadero problema grave es la concentración de poder en las Big Tech
    • Si sacrificas los principios por un compromiso práctico, al final pierdes ambas cosas

  • La decisión de Microsoft esta vez es absurda
    En un momento en que la base de fans de Windows va disminuyendo, actuar así es dispararse en el pie
    Pero también podría servir para que más gente tome conciencia de los riesgos de la centralización

    • Hoy intenté iniciar sesión en Teams durante 20 minutos y fracasé por quedar atrapado en un bucle infinito de autenticación
      Se supone que estamos en la era de la automatización con IA, y ni siquiera pueden hacer que funcione un inicio de sesión
    • La buena voluntad que Satya Nadella acumuló entre 2014 y 2022 desapareció por completo
      Ahora la empresa parece enfocada únicamente en Azure y la IA

  • Artículo relacionado: el caso de suspensión de la cuenta del desarrollador de WireGuard VPN en TechCrunch
    También se discutió en este hilo de HN

    • Según una fuente mejor, no se trataba simplemente de una verificación por correo electrónico, sino que era necesario subir una identificación oficial emitida por el gobierno
      Sin embargo, algunos desarrolladores no recibieron ningún aviso sobre ese proceso

  • En un artículo de The Register apareció la postura oficial de Microsoft

    • Antes trabajé como Microsoft Partner, y para mantener el estatus de partner hacía falta una certificación oficial de desarrollador
      Como esa certificación fue eliminada, parece que limpiaron de golpe a los partners que ya no tenían desarrolladores certificados

  • “Microslop” otra vez está arruinando su propia marca
    Ahora la gente podría empezar a pasarse a macOS o Linux

    • Llevo más de un año usando Forgejo y va rápido, además de que las funciones esenciales son gratis
      Corre bien incluso en una Raspberry Pi 4 (1GB de RAM)
      Basta con configurar HTTPS con Docker Compose y Caddy, y hacer respaldo con cron + git pull
      También puede ejecutar sin problema pruebas de Rust o Python
    • Pero Apple hace algo parecido con la App Store
      La raíz del problema es la estructura de tienda de apps monopólica
    • La mayoría de la gente simplemente usa la computadora que le da la empresa
      En la práctica, no mucha gente quiere cambiar de sistema operativo
    • Los dispositivos de Apple son caros y las laptops con Linux siguen siendo difíciles de encontrar en tiendas
      Por eso es complicado que haya un cambio masivo
    • Uso una PC corporativa con Windows 11 y es sorprendentemente lenta
      Incluso va peor que una Q6600 de 2007 con Windows XP

  • En mi Linux y en mi Mac, WireGuard funciona bien
    Microsoft parece no darse cuenta de que bloquear este tipo de software crítico termina perjudicándola más a ella misma

    • Hoy en día, en las grandes empresas nadie revisa nada de verdad
      Bots automatizados bloquean cuentas y, cuando intentas desbloquearlas, solo te topas con una pared

  • Según el vicepresidente de Microsoft Scott Hanselman,
    esta suspensión bloqueó automáticamente a los “partners que no completaron la verificación de la cuenta después de abril de 2024”
    Pero en la práctica se parece más a una terminación de cuenta que a una simple suspensión