Cada vez más gente usa la IA para descubrir vulnerabilidades en código y cobrar recompensas. El problema es que la IA se las inventa

En el mundo de la ciberseguridad, encontrar vulnerabilidades reales en sistemas y programas es una tarea compleja, laboriosa y sumamente valiosa. Por ello existen los llamados bug bounty programs —programas de recompensas por errores—, mediante los cuales empresas e instituciones pagan a investigadores de ciberseguridad por reportar fallos de seguridad antes de que los delincuentes puedan localizarlos y explotarlos. Los pagos pueden llegar a ser millonarios.

Sin embargo, en los últimos meses ha emergido una nueva amenaza inesperada: las vulnerabilidades falsas inducidas por la IA. Y es que estamos experimentando una oleada de "descubrimientos" inexistentes que está inundando las plataformas de referencia de bug bounty como HackerOne o Bugcrowd, en un intento de usuarios por conseguir recompensas rápidas sin hacer investigación real.

El fenómeno ha alcanzado tal nivel que incluso proyectos emblemáticos como cURL, una de las herramientas más utilizadas de la red, han tenido que tomar medidas drásticas: bloquear de inmediato a quienes envían reportes generados por IA.

Qué está pasando realmente

El caso de cURL es ilustrativo. Su responsable principal, Daniel Stenberg, recopiló recientemente decenas de reportes de 'vulnerabilidades' supuestamente críticas enviadas al programa oficial de recompensas de la herramienta. Los títulos suenan bastante alarmantes:

• “Buffer Overflow Vulnerability in WebSocket Handling”
• “HTTP/3 Stream Dependency Cycle Exploit”
• “Use of Deprecated strcpy() with Fixed-Size Buffers”

Pero tras una revisión mínima, se descubrió que ninguna de ellas tenía la más mínima base técnica. Los informes repetían patrones comunes de descripciones generadas por IA: lenguaje vago, ejemplos de código inventado, ubicaciones de archivo incorrectas y referencias a funciones inexistentes.

En Genbeta

Siete hackers se hicieron millonarios 'cazando' vulnerabilidades en 2019: qué son los programas de 'bug bounty' que lo hacen posible

En Genbeta

Vio que podía ganar dinero arreglando bugs... y empezó a crearlos a propósito. Cinco ejemplos de malos incentivos para programadores

-
La noticia Cada vez más gente usa la IA para descubrir vulnerabilidades en código y cobrar recompensas. El problema es que la IA se las inventa fue publicada originalmente en Genbeta por Marcos Merino .

---

☞ El artículo completo original de Marcos Merino lo puedes ver aquí