El proyecto WireGuard, una solución VPN de código abierto ampliamente utilizada que sirve como base para servicios de seguridad populares como Mullvad y otros, se encuentra bloqueado de su cuenta de desarrollador de Microsoft y no puede distribuir actualizaciones de software críticas para usuarios de Windows. Jason Donenfeld, creador de WireGuard, confirmó que el bloqueo impide firmar controladores y enviar actualizaciones necesarias para el funcionamiento del software en Windows.
El incidente afecta a múltiples desarrolladores de proyectos de código abierto de alto perfil. Según Donenfeld, Microsoft suspendió su cuenta sin previo aviso, una situación que también enfrentó VeraCrypt, otro software de cifrado utilizado por cientos de miles de usuarios para proteger archivos y sistemas operativos.
Impacto del bloqueo en actualizaciones de WireGuard
Donenfeld explicó a TechCrunch que había pasado semanas modernizando el código de WireGuard para Windows y estaba listo para enviar una actualización a Microsoft cuando se encontró con un error de “acceso restringido” al iniciar sesión en la porción de desarrollador de su cuenta. El desarrollador advirtió que si existiera una vulnerabilidad crítica que necesitara corrección inmediata, los usuarios quedarían completamente expuestos.
WireGuard es un software VPN de código abierto utilizado globalmente para conectar dispositivos a través de internet. Su código es reconocido por su simplicidad y seguridad, sirviendo como fundamento para numerosas implementaciones VPN y servicios comerciales como Proton y Tailscale.
Proceso de verificación obligatoria de Microsoft
Según información que Donenfeld encontró en el sitio web de Microsoft, la compañía había estado realizando una “verificación obligatoria de cuentas para todos los socios en el Programa de Hardware de Windows que no habían completado la verificación de cuenta desde abril de 2024”. Sin embargo, el programa de verificación ya había cerrado cuando los desarrolladores intentaron cumplir con el requisito.
El Programa de Hardware de Windows permite a desarrolladores como Donenfeld implementar hardware y controladores de dispositivos para PCs con Windows. La capacidad de desarrollar y publicar controladores está restringida a desarrolladores conocidos y verificados, dado que los controladores pueden otorgar acceso extenso al sistema operativo y sus datos.
Falta de notificación previa
Donenfeld afirmó que Microsoft nunca le envió ninguna notificación sobre el proceso de verificación obligatoria. “He revisado cada bandeja de entrada, cada carpeta de spam, cada registro de correo, y cero, nada,” declaró el desarrollador a TechCrunch. A pesar de verificar su licencia de conducir o pasaporte con Microsoft a través de un tercero (que confirmó su verificación), su acceso continuó suspendido.
El sitio web del programa indica que la verificación “ahora ha concluido” y las cuentas de desarrolladores que no cargaron sus documentos fueron “suspendidas”, lo que significa que estas cuentas ya no pueden enviar actualizaciones a usuarios de Windows.
Otros proyectos afectados por el cierre de cuentas
VeraCrypt enfrenta una situación particularmente grave. Según su desarrollador Mounir Idrassi, el bloqueo de su cuenta le impide actualizar el software antes del vencimiento de un certificado de autoridad crucial, lo que podría evitar que algunos usuarios inicien sus sistemas.
Windscribe, fabricante de herramientas VPN y de privacidad para consumidores, también reportó estar bloqueado de su cuenta del Centro de Socios. En una publicación en X, la compañía indicó que había tenido una cuenta verificada durante más de ocho años para firmar sus controladores y que había estado intentando resolver el problema durante más de un mes sin éxito.
Respuesta de Microsoft y perspectivas
Donenfeld fue referido al equipo de soporte ejecutivo de Microsoft, que maneja solicitudes de servicio al cliente para individuos de alto perfil. El equipo confirmó la recepción de su apelación pero indicó que el proceso de revisión podría tomar hasta 60 días.
Para el miércoles por la noche, surgió un indicio de progreso en el caso de Donenfeld. El desarrollador informó que finalmente había establecido contacto con Microsoft y esperaba que el problema se resolviera pronto. Microsoft no respondió de inmediato a las solicitudes de comentarios de TechCrunch.
La resolución de estos casos determinará si Microsoft implementará un proceso de comunicación más efectivo con desarrolladores de proyectos críticos de código abierto. Mientras tanto, miles de usuarios que dependen de estas herramientas de seguridad aguardan la restauración del acceso a actualizaciones esenciales.