.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Los programas de recompensa por errores están cambiando más rápido ahora que en cualquier otro momento de sus treinta años de historia. Por un lado, el auge de la investigación asistida por IA ha inundado muchos programas de baja calidad (slop). Por otro, los modelos de vanguardia están empezando a producir vulnerabilidades validadas, reproducibles y explotables a la velocidad de una máquina. Ambas tendencias se están acelerando y ninguna de ellas va a revertirse.
Ese cambio replantea la finalidad de un programa de recompensas por errores. Ya no es solo un canal para recibir hallazgos externos. Es una prueba en vivo de si tu mecanismo de clasificación, ingeniería y respuesta puede seguir el ritmo de un proceso de descubrimiento de vulnerabilidades que ha cambiado radicalmente ante los ojos de cualquiera que gestione un programa de este tipo.
Este artículo trata sobre cómo vemos evolucionar este cambio, qué exige a los programas de recompensas por errores y cómo ha evolucionado el nuestro para afrontarlo. También analizaremos los resultados de 2025, ya que ese año se cumplen treinta años desde el primer programa de recompensas por errores reconocible, cuando Netscape invitó a los investigadores a encontrar vulnerabilidades en una de las primeras versiones beta de su navegador, y ocho años desde que lanzamos nuestro propio programa público.
La IA está cambiando los programas de recompensas por errores
La señal que probablemente estés escuchando ahora mismo es el «slop», un aumento de envíos de bajo esfuerzo y asistidos por IA que atascan las colas de clasificación en todo el sector. Eso es real, y es doloroso. Pero también es la mitad más pequeña de lo que está sucediendo. Bajo todo ese ruido, la IA está empezando a producir hallazgos validados y explotables a la velocidad de una máquina, y esa capacidad está mejorando rápidamente.
Dos cosas pueden ser ciertas a la vez:
El «slop» aumentará (más automatización, más envíos, más carga de clasificación).
Las capacidades mejorarán (los modelos mejorarán en el razonamiento a través de bases de código, la construcción de hipótesis de explotación y la búsqueda de cadenas no obvias).
Ambas trayectorias se están acelerando, y ninguna va a revertirse. Antes de entrar en cómo deben evolucionar los programas, vale la pena contextualizar el debate observando lo que ha significado gestionar nuestro programa durante los últimos ocho años, porque la experiencia y las competencias que un programa acumula con el tiempo representan, de hecho, una parte fundamental de su capacidad para adaptarse y resistir cambios de esta magnitud.
Cómo ha evolucionado nuestro programa
No diseñamos nuestro programa de recompensas por errores pensando en la era Mythos. Nadie lo hizo. Pero ocho años de gestionarlo, ajustarlo y aprender de él nos han dejado en una mejor posición para lo que se avecina que un programa diseñado hoy y lanzado sin preparación.
Lee el artículo completo en inlgés: https://www.sophos.com/en-us/blog/bug-bounties-in-the-mythos-era