En los últimos días varios desarrolladores de proyectos ampliamente utilizados en Windows se encontraron inesperadamente sin acceso a sus cuentas en el programa de hardware de Microsoft, lo que impidió publicar nuevas versiones y parches. Entre los afectados estuvieron herramientas conocidas como WireGuard, VeraCrypt, MemTest86 y Windscribe, cuyos responsables denunciaron bloqueos repentinos y dificultades para contactar con soporte.
Microsoft ha lanzado ahora un procedimiento de urgencia para acelerar la restitución de esas cuentas, después de que la avalancha de quejas forzara una respuesta pública. La compañía explica que la suspensión obedeció a la falta de verificación de identidad requerida para participar en el Windows Hardware Program, un requisito que, según sus responsables, fue comunicado por correo desde octubre de 2025. Puede consultarse la nota oficial en el blog de Microsoft para desarrolladores de hardware: Microsoft Advisory: Action required — Account verification for Windows Hardware Program.
Los afectados describieron una experiencia distinta: cuentas cerradas sin previo aviso y un proceso de apelación engorroso o inalcanzable. El desarrollador de VeraCrypt publicó en los foros su problema con la terminación de cuenta y la imposibilidad de llegar a soporte humano; su mensaje puede leerse en SourceForge: hilo de VeraCrypt. Del mismo modo, responsables de proyectos como WireGuard y otros relataron bloqueos y largos tiempos de resolución en hilos públicos, como el seguimiento en Hacker News: discusión sobre los bloqueos. Mensajes desde las cuentas oficiales de proyectos afectados también evidenciaron el problema, por ejemplo las publicaciones de MemTest86 y Windscribe en X: MemTest86 y Windscribe.
Desde Microsoft, miembros del equipo —entre ellos Scott Hanselman— han explicado públicamente que la verificación de identidad es necesaria porque el programa permite distribuir controladores a nivel kernel, piezas de software que operan con privilegios muy altos y que, en manos erróneas, pueden ser explotadas en ataques sofisticados. La conversación de Hanselman sobre el requisito puede verse en su comunicado en X: publicación de Scott Hanselman. Para quien necesite contexto técnico, Microsoft mantiene documentación sobre las políticas de firma y seguridad de controladores: Driver signing — Microsoft Docs.
La rapidez con la que se cerraron las cuentas y las interrupciones en la capacidad de publicar actualizaciones plantearon dudas legítimas sobre la capacidad de respuesta ante vulnerabilidades. Si un proyecto pierde temporalmente la posibilidad de lanzar parches, la ventana de exposición de usuarios puede ampliarse, con el consiguiente riesgo para sistemas que dependen de esos proyectos.
Ante la presión pública, Microsoft ha añadido una vía temporal de recuperación: un procedimiento acelerado que pasa por abrir un caso de soporte a través del Hardware Program; esa es, según la empresa, la manera más rápida de solicitar la reinstauración de acceso. La solicitud debe incluir una justificación comercial clara sobre el uso previsto del Hardware Dev Center y, aunque la cuenta pueda recuperarse rápidamente, las obligaciones de cumplimiento pendientes deberán completarse para recuperar el acceso pleno.
La compañía también abordó problemas reportados con el flujo de soporte: recomendó verificar que se está autenticado con la cuenta correcta al enviar tickets y propuso seguir insistiendo con el asistente Copilot para generar una incidencia si la vía automatizada no funciona. Para quienes no puedan abrir solicitudes por los canales estándar, Microsoft ha facilitado una vía alternativa de contacto para poner en marcha el proceso. Toda la explicación y el resumen del proceso están en el aviso de la compañía antes citado: detalle del procedimiento y contactos alternativos.
Importa subrayar que Microsoft no ha precisado la duración de este mecanismo temporal, por lo que los desarrolladores afectados han sido instados a actuar con rapidez si desean minimizar el tiempo sin acceso.
Más allá de la resolución inmediata, este episodio pone de manifiesto un dilema conocido entre seguridad y experiencia del desarrollador: las medidas para proteger el ecosistema —como la verificación de identidad de quienes pueden firmar controladores— son justificadas desde el punto de vista técnico, pero su implementación exige canales de comunicación y soporte robustos para no interrumpir el mantenimiento de software crítico. En otras palabras, reforzar la seguridad no puede traducirse en una falta de previsibilidad que impida distribuir parches.
Para proyectos y responsables de software que trabajan con componentes sensibles en Windows conviene extraer algunas lecciones prácticas: mantener actualizados los datos de contacto asociados a las cuentas de distribuidores, revisar a tiempo los avisos de verificación que lleguen por correo y contemplar rutas alternativas de distribución o entrega de parches en situaciones excepcionales. También es razonable que Microsoft revise sus procesos de notificación y las herramientas de soporte para reducir fricciones cuando una verificación administrativa amenaza con paralizar actualizaciones críticas.
Mientras se restablecen las cuentas y se completan los requisitos de cumplimiento, la comunidad seguirá observando cómo equilibra Microsoft la necesidad de proteger el sistema operativo con la obligación de permitir que desarrolladores confiables mantengan y actualicen software esencial. Para seguir la evolución del caso y las respuestas de los proyectos implicados, pueden consultarse las fuentes primarias citadas en este texto y los canales oficiales de los proyectos afectados, como WireGuard y la página de VeraCrypt: VeraCrypt.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...