Hace una década, la divulgación de vulnerabilidades y los programas de "recompensas por errores" comenzaron a transformar la forma en que las instituciones abordaban la investigación de seguridad, pasando de la hostilidad a reconocer la necesidad de aportes externos y parches rápidos. **Apple**, por ejemplo, comenzó con una recompensa máxima de $200,000 en 2016, que se elevó a $2 millones el año pasado. Sin embargo, la proliferación de IA agentica está destinada a interrumpir este sistema establecido. ### La Inundación de IA A medida que los modelos de IA agentica se vuelven más competentes en la identificación autónoma de vulnerabilidades de software y el desarrollo de exploits, los programas de divulgación de vulnerabilidades están experimentando una afluencia de presentaciones. Este aumento coincide con el descubrimiento interno de más errores por parte de las organizaciones, lo que altera la economía de las recompensas por errores tanto para las instituciones como para los investigadores. "Probablemente he enviado tres veces más errores que el año pasado a estas alturas; sospecharía que una empresa como **Google** gastará entre dos y 10 veces más en pagos por errores que el año pasado", dice el investigador de seguridad independiente **Joseph Thacker**, quien utiliza IA en su caza de errores. Thacker señala que, si bien los gigantes tecnológicos pueden manejar la presión creciente, la mayoría de las empresas no pueden. Anticipa una disminución futura en las presentaciones a medida que la IA encuentre las "frutas maduras" (low-hanging fruit), lo que podría llevar a las empresas a aumentar nuevamente los pagos. ### El Plazo de Divulgación de 90 Días Bajo Presión La efectividad de la IA en el descubrimiento de exploits y el escaneo automatizado de sistemas puede presionar a los desarrolladores a agilizar la publicación de parches, lo que podría afectar estándares establecidos como los plazos de divulgación de 90 días. Como escribió el investigador de seguridad **Himanshu Anand**, "La ventana de divulgación responsable de 90 días se construyó para un mundo donde los hallazgos de errores eran raros y el desarrollo de exploits era lento. Ese mundo se ha ido. Los LLM han comprimido ambos plazos." Esta urgencia podría impulsar mejoras en la rapidez con la que las organizaciones implementan correcciones de vulnerabilidades, abordando el complejo desafío de la proliferación de parches y sus posibles consecuencias no deseadas. ### Ataques Facilitados por IA en Aumento La urgencia de los ataques del mundo real facilitados por IA está creciendo, con actores tanto sofisticados como menos experimentados aprovechando la IA para expandir sus capacidades y reducir costos. Investigadores de **Google** observaron recientemente a actores del cibercrimen intentando explotar una vulnerabilidad **zero-day** desarrollada con IA para eludir la autenticación de dos factores en una plataforma de administración de sistemas de código abierto. "Todos asumimos que ya estaba sucediendo, y esta es nuestra primera evidencia de que está sucediendo", dice **John Hultquist**, analista jefe del Grupo de Inteligencia de Amenazas de Google, refiriéndose a los atacantes que utilizan IA para descubrir y explotar vulnerabilidades novedosas. Hultquist enfatiza el impacto significativo de que más delincuentes obtengan acceso a exploits zero-day, dada la ya alta tasa de éxito de quienes los utilizan actualmente. ### Los Programas de Recompensas por Errores se Adaptan Para los investigadores que obtienen ingresos a través de la caza de errores, el panorama está cambiando. La herramienta de línea de comandos **Curl** finalizó su programa de recompensas por errores (gestionado a través del servicio de terceros **HackerOne**) en enero debido a una avalancha de envíos de baja calidad generados por IA. "Hemos concluido de la manera difícil que una recompensa por errores da a las personas incentivos demasiado fuertes para encontrar y fabricar 'problemas' de mala fe que causan sobrecarga y abuso", escribió el grupo. **Linus Torvalds** señaló que la lista de correo de seguridad de **Linux** se ha vuelto "casi completamente inmanejable" debido al alto volumen y a los informes duplicados de errores de IA. Sin embargo, **Daniel Stenberg**, fundador de Curl, notó una mejora en la calidad de las presentaciones, con un número creciente de informes de alta calidad asistidos por IA. En abril, Google anunció una revisión de sus Programas de Recompensa por Vulnerabilidades para Chrome y Android, ajustando los pagos para centrarse en las vulnerabilidades más desafiantes e impactantes. "A medida que el panorama de la investigación de seguridad evoluciona con la IA, estamos realizando cambios en nuestros programas para garantizar que estamos recompensando las vulnerabilidades más desafiantes e impactantes en nuestros productos", escribió la compañía. Jonathan Dunn, cardiólogo y cazador de recompensas por errores, cree que los cazadores de errores altamente calificados continuarán encontrando y siendo recompensados por vulnerabilidades. También enfatizó la necesidad de incentivar a los investigadores éticos a centrarse en la infraestructura pública y los sistemas críticos que de otro modo podrían no recibir la atención adecuada.