Modelos de IA multiplican informes de vulnerabilidades y presionan programas de bug bounty

Modelos de IA capaces de identificar vulnerabilidades y generar exploits están multiplicando los hallazgos y forzando a empresas y programas de recompensa a adaptarse ante mayor volumen de reportes y riesgo de explotación.

Los modelos de IA-incluidos sistemas agentic y LLMs-están siendo empleados tanto para descubrir vulnerabilidades como para generar exploits, lo que ha disparado el número de informes a programas de divulgación y bug bounties y obliga a las empresas a replantear su capacidad de respuesta. Este cambio importa porque aumenta la presión sobre triage, pagos y despliegue de parches, y eleva el riesgo de que fallos lleguen a producción más rápido de lo que los equipos pueden gestionarlos.

El fenómeno se observa junto a la evolución del mercado de recompensas: hace una década los bug bounties apenas se popularizaban. Apple, por ejemplo, lanzó un programa en 2016 con un pago máximo de $200.000, que subió a $1.000.000 en 2019 y a $2.000.000 el año pasado. Al mismo tiempo, investigadores de Google reportaron que actores delictivos intentaron explotar un zero-day —desarrollado usando herramientas de IA-para eludir la autenticación de dos factores en una plataforma de administración de sistemas de código abierto; Google notificó al desarrollador y se emitió un parche.

La abundancia de hallazgos está alterando la economía de los programas: algunos investigadores dependen de esos ingresos y ya notan aumentos en el volumen de envíos. El investigador independiente Joseph Thacker afirma haber enviado unas tres veces más bugs que el año pasado y estima que empresas como Google podrían estar gastando entre dos y diez veces más en pagos por recompensas que el año anterior. Thacker advierte, sin embargo, que muchas compañías no podrán asumir semejante incremento en los desembolsos.

La presión por acelerar la liberación de parches puede tensar normas como la ventana de divulgación responsable de 90 días. Como escribió el investigador Himanshu Anand, esa ventana fue diseñada para un entorno en el que el descubrimiento y el desarrollo de exploits eran más lentos; los LLMs han comprimido ambos plazos. Al mismo tiempo, el despliegue apresurado de parches sin pruebas suficientes aumenta el riesgo de efectos secundarios en producción, incluidos apagones y regresiones operativas.

Para desarrolladores y equipos de seguridad las implicaciones son prácticas: deben prepararse para un mayor volumen de reportes y para la posibilidad concreta de exploits generados por IA. Entre las medidas a considerar figuran redimensionar la capacidad de triage, automatizar escaneos y priorización, reevaluar presupuestos de bug bounty y fortalecer procesos de despliegue seguro de parches para mitigar el riesgo de interrupciones, manteniendo la calidad de las pruebas antes de publicar correcciones.