Las inundaciones de errores de IA saturan los programas de recompensas por errores mientras las empresas luchan con informes falsos

En resumen

* Las empresas que gestionan programas de recompensas por errores reportan un aumento brusco en las presentaciones de baja calidad generadas por IA.
* HackerOne y Nextcloud suspendieron ambos programas de recompensas por errores tras olas de informes falsos.
* Las empresas de seguridad dicen que las herramientas de IA están cambiando la caza de errores al facilitar la presentación de informes a gran escala.

La inteligencia artificial está creando un nuevo dolor de cabeza para las empresas que dependen de programas de recompensas por errores para descubrir vulnerabilidades en el software.
Las empresas de ciberseguridad y los proyectos de software de código abierto están lidiando con un aumento de informes de errores generados por IA, muchos de los cuales son falsos o engañosos. Esto según un informe del Financial Times, que dice que el creciente número de presentaciones de baja calidad está obligando a algunas organizaciones a pausar los programas de recompensas por errores mientras los equipos de seguridad dedican más tiempo a distinguir las vulnerabilidades reales del spam.
Las recompensas por errores también se han convertido en un negocio importante, con empresas como Meta, Microsoft, Apple y Crypto.com pagando colectivamente al menos 58 millones de dólares en 2025 a investigadores que encuentran fallos en el software antes que los hackers.

Sin embargo, las herramientas de IA generativa también facilitan la explotación de los programas de recompensas por errores al producir grandes volúmenes de informes de vulnerabilidades inexactos o de baja calidad a gran escala.

Según Bugcrowd, con sede en San Francisco, los informes presentados a través de su plataforma se cuadruplicaron durante tres semanas en marzo. La empresa, cuyos clientes incluyen a OpenAI, desarrollador de ChatGPT, dijo que la mayoría de los informes eran falsos.
Debido a la avalancha de informes generados por IA, algunas empresas ya han comenzado a reducir sus programas públicos de recompensas.

“Las recompensas por errores van a seguir [but] van a tener que cambiar,” dijo Ross McKerchar, director de seguridad de la información en la empresa de ciberseguridad Sophos, al Financial Times.
En abril, la plataforma de ciberseguridad HackerOne y la plataforma de alojamiento Nextcloud suspendieron ambos su programa de recompensas pagadas, con Nextcloud agregando que “no se otorgarán recompensas financieras por ninguna presentación, independientemente de la gravedad.”
“Como probablemente saben, esto es un desafío a nivel de toda la industria y, como otros, no hemos podido encontrar formas de manejar responsablemente el aumento masivo de informes de baja calidad,” escribió Nextcloud. “Esperamos poder reiniciar el programa una vez que se haya encontrado un enfoque confiable para filtrar los informes de bajo esfuerzo.”
Las noticias sobre recompensas por errores llegan en un momento en que los modelos de IA están mejorando cada vez más en la detección de vulnerabilidades. En marzo, Anthropic presentó Mythos, un modelo de IA enfocado en ciberseguridad que, según la empresa, puede identificar vulnerabilidades más rápido que los humanos. La compañía actualmente mantiene el modelo en secreto, permitiendo el acceso solo a gigantes tecnológicos, empresas de seguridad y gobiernos.
En abril, Claude Mythos identificó 271 vulnerabilidades en Mozilla Firefox durante pruebas internas, mientras que a principios de este mes, investigadores de seguridad dijeron que una versión preliminar del modelo ayudó a desarrollar un exploit dirigido a los chips M5 de Apple.
Los usuarios en Myriad, una plataforma de mercado de predicciones operada por la empresa matriz de Decrypt, Dastan, no creen que Claude Mythos se lance públicamente antes de fin de junio, actualmente estimando solo un 18% de probabilidad.