Por Jason Nelson
3 min lectura
La inteligencia artificial está creando un nuevo dolor de cabeza para las empresas que dependen de los programas de bug bounty para descubrir vulnerabilidades de software.
Las firmas de ciberseguridad y los proyectos de software de código abierto están lidiando con un aumento de reportes de bugs generados por IA, muchos de los cuales son falsos o engañosos. Esto, según un reporte del Financial Times, que indica que el creciente número de envíos de baja calidad está obligando a algunas organizaciones a pausar los programas de bug bounty, ya que los equipos de seguridad invierten más tiempo separando las vulnerabilidades reales del spam.
Los bug bounties también se han convertido en un gran negocio, con empresas como Meta, Microsoft, Apple y Crypto.com pagando colectivamente al menos $58 millones en 2025 a investigadores que encuentran fallas de software antes que los hackers.
Sin embargo, las herramientas de IA generativa también están facilitando la explotación de los programas de bug bounty al producir grandes volúmenes de reportes de vulnerabilidades inexactos o de baja calidad a escala.
Según Bugcrowd, con sede en San Francisco, los reportes enviados a través de su plataforma se cuadruplicaron durante tres semanas en marzo. La compañía, cuyos clientes incluyen al desarrollador de ChatGPT, OpenAI, dijo que la mayoría de los reportes eran falsos.
Debido a la avalancha de reportes generados por IA, algunas empresas ya han comenzado a reducir sus programas públicos de bounty.
"Los bug bounties van a permanecer [pero] van a tener que cambiar", dijo Ross McKerchar, director de seguridad de la información de la empresa de ciberseguridad Sophos, al Financial Times.
En abril, la plataforma de ciberseguridad HackerOne y la plataforma de hosting Nextcloud suspendieron su programa de bounty pagado, y Nextcloud agregó que "no se otorgarán recompensas financieras por ningún envío, independientemente de su gravedad".
"Como probablemente saben, este es un desafío de toda la industria y, como otros, no hemos podido encontrar formas de manejar responsablemente el aumento masivo de reportes de baja calidad", escribió Nextcloud. "Esperamos poder reiniciar el programa una vez que se haya encontrado un enfoque confiable para filtrar los reportes de bajo esfuerzo".
La noticia sobre los bug bounty llega en un momento en que los modelos de IA son cada vez mejores para encontrar vulnerabilidades. En marzo, Anthropic presentó Mythos, un modelo de IA centrado en ciberseguridad que, según la compañía, puede identificar vulnerabilidades más rápido que los humanos. La empresa actualmente mantiene el modelo en reserva, permitiendo el acceso solo a gigantes tecnológicos, firmas de seguridad y gobiernos.
En abril, Claude Mythos identificó 271 vulnerabilidades en Mozilla Firefox durante pruebas internas, mientras que a principios de este mes, los investigadores de seguridad dijeron que una versión preliminar del modelo ayudó a desarrollar un exploit dirigido a los chips M5 de Apple.
Los usuarios de Myriad—una plataforma de mercados de predicción operada por Dastan, la empresa matriz de Decrypt—no creen que Claude Mythos sea lanzado públicamente para finales de junio, actualmente otorgándole apenas un 18% de probabilidades.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.