Google acaba de reconocer en público algo que la industria de ciberseguridad lleva meses hablando en privado: la inteligencia artificial está inundando los programas de recompensas de vulnerabilidades con informes de baja calidad.
Y es que a finales de abril la compañía anunció la mayor reestructuración de sus Vulnerability Reward Programs (VRP) para Android y Chrome desde que ambos programas se fusionaron, estableciendo una lógica completamente asimétrica: subir fuerte en Android, bajar en Chrome.
| Vulnerabilidad | Antes | Ahora |
|---|---|---|
| Zero-click Pixel Titan M2 con persistencia | US$1.000.000 | US$1.500.000 |
| Zero-click Pixel Titan M2 sin persistencia | US$500.000 | US$750.000 |
| Exfiltración de elemento seguro | US$250.000 | US$375.000 |
| Exploit Chrome full-chain | US$250.000 | US$250.000 |
| Vulnerabilidades de seguridad de memoria Chrome (base) | ~US$5.000+ | US$500 + multiplicadores |
La razón detrás de los recortes en Chrome es tan directa como incómoda para la industria: los investigadores señalan que algunos pagos cayeron hasta 10 veces. Google reconoce que desde que se generalizó el uso de herramientas de IA para análisis de código, el programa de Chrome recibe una cantidad masiva de informes largos, detallados y bien redactados, pero con vulnerabilidades de baja exploitabilidad real.
El problema no es la cantidad de reportes, sino que los recursos del equipo de seguridad se consumen triageando informes generados automáticamente que en la práctica no representan un riesgo real para los usuarios.
Por lo tanto, Google decidió atacar el incentivo económico directamente.
La nueva filosofía del programa Chrome exige pruebas concretas de explotabilidad, no solo una descripción técnica del bug. Los informes que incluyan una demostración de explotación reproducible o una propuesta de parche seguirán siendo bien recompensados, pero los reportes puramente descriptivos —el tipo que una IA puede generar en segundos— recibirán montos mínimos hasta que se demuestren como explotables. Para ayudar a los investigadores con esa parte difícil, Google lanzará builds especiales de Chrome con instrumentación de depuración que permitan demostrar lecturas/escrituras arbitrarias de memoria y fugas de información de forma reproducible.
En el lado Android, la lógica es la inversa. Hackear el chip de seguridad Titan M2 de los Pixel sigue siendo extremadamente difícil para cualquier herramienta automatizada, por lo que Google aumenta el incentivo para atraer a los mejores investigadores humanos hacia ese objetivo.
La compañía también clarificó que a partir de ahora dejará de priorizar vulnerabilidades del kernel Linux en general, centrándose solo en los componentes del kernel que Google mantiene directamente, a menos que exista una prueba concreta de explotabilidad en Android o en dispositivos Google.
