Los programas de recompensas por la identificación de vulnerabilidades en software están experimentando un cambio significativo. A medida que los modelos de IA se vuelven más capaces de identificar debilidades y desarrollar herramientas de explotación, las organizaciones están enfrentando un aumento en la cantidad de errores reportados. Esto está transformando la economía de las recompensas tanto para las instituciones como para los investigadores.
Joseph Thacker, un investigador de seguridad independiente, ha notado un aumento en la cantidad de errores que ha reportado, sugiriendo que empresas como Google podrían gastar entre 2 y 10 veces más en recompensas este año. Sin embargo, muchas empresas más pequeñas podrían no estar preparadas para manejar esta presión financiera. Actualmente, los investigadores están encontrando errores de baja y media dificultad, pero se anticipa que el próximo año habrá menos errores nuevos debido a que muchos ya habrán sido descubiertos.
La dinámica de oferta y demanda en el ámbito de la caza de errores es incierta. Con el avance de la IA en la detección de exploits, los desarrolladores podrían verse obligados a acelerar la liberación de parches, lo que podría afectar los plazos de divulgación responsables, tradicionalmente establecidos en 90 días. Himanshu Anand, investigador de seguridad, señala que estos plazos fueron diseñados para un contexto donde los cazadores de errores eran escasos y el desarrollo de exploits era lento, una realidad que ha cambiado drásticamente.
La presión de los atacantes, que ahora pueden utilizar herramientas de IA para mejorar sus capacidades, también podría motivar a las organizaciones a implementar correcciones más rápidamente. La proliferación de parches es un desafío de seguridad complejo, ya que la instalación de nuevo software sin pruebas adecuadas puede resultar en consecuencias no deseadas, incluyendo fallos del sistema.
Recientemente, investigadores de Google informaron sobre actores de cibercrimen que intentaron explotar una vulnerabilidad de día cero utilizando herramientas de IA para eludir la autenticación de dos factores. Este incidente subraya la urgencia de la situación actual y cómo la IA está cambiando el panorama de la caza de errores, evidenciando que la amenaza de ataques sofisticados está en aumento.
Comentarios