El mercado de vulnerabilidades entra en una nueva fase

La inteligencia artificial no solo está cambiando cómo se construye el software. También está cambiando cómo se rompe el software, con qué rapidez se encuentran esas debilidades y cuánto podrían tener que pagar las empresas para enterarse primero de ellas. Según la cobertura de Wired, la detección de vulnerabilidades impulsada por IA está empezando a saturar los programas de bug bounty, creando una nueva presión económica y operativa en todo el ecosistema de seguridad de software.

Eso importa porque los programas de bug bounty se han convertido en uno de los puentes más importantes entre los investigadores de seguridad independientes y las grandes empresas tecnológicas. En lugar de tratar a los investigadores externos como adversarios, las compañías empezaron a pagarles cada vez más por divulgar vulnerabilidades de forma responsable. Ahora ese sistema se está poniendo a prueba por la escala.

Más bugs, más envíos, más presión

El cambio central es claro: los modelos de IA agentiva están siendo cada vez más capaces de identificar vulnerabilidades de forma autónoma y desarrollar exploits. En términos prácticos, eso significa que se pueden encontrar más debilidades más rápido y por más personas. El resultado, según describe el texto de origen, es un aumento de envíos a los programas de divulgación de vulnerabilidades y de recompensas, al mismo tiempo que las organizaciones también encuentran más bugs internamente.

El investigador independiente Joseph Thacker dijo a Wired que había enviado aproximadamente tres veces más bugs que en el mismo punto del año anterior y especuló con que una empresa como Google podría terminar gastando entre dos y diez veces más en pagos que el año pasado. Aunque esa proyección exacta no resulte correcta, la dirección del cambio está clara: la vieja relación entre el esfuerzo del investigador, la escasez de bugs y el tamaño de la recompensa se está alterando.

Las grandes empresas tecnológicas quizá puedan absorber esa presión. Las organizaciones más pequeñas, no tanto. Si los programas de recompensas se inundan con hallazgos de severidad baja y media que los sistemas de IA pueden descubrir a gran escala, aumentan las cargas de triage, se estiran los equipos de respuesta y puede que las estructuras de pago tengan que cambiar.

Charities decry UK plan to use AI to assess age of young asylum seekers
More in Culture

La IA para verificar la edad en solicitudes de asilo en el Reino Unido enfrenta rechazo de grupos de refugiados infantiles

Más de 100 organizaciones advierten que el uso británico de la estimación facial de edad mediante IA en solicitantes de asilo podría clasificar erróneamente a menores como adultos.

Read article

Los atacantes se mueven al mismo tiempo que los defensores

Esta no es solo una historia sobre una defensa más eficiente. Las mismas herramientas que ayudan a los investigadores éticos a encontrar vulnerabilidades también pueden ayudar a los atacantes a desarrollar exploits. Esa simetría es una de las razones por las que el cambio es más serio que un aumento temporal del volumen de envíos.

El texto de origen describe el campo como un cambio en paralelo para los atacantes. Si el desarrollo de exploits se acelera, los supuestos cómodos que antes sostenían las normas de divulgación podrían erosionarse. En particular, los plazos de divulgación de 90 días, vigentes desde hace tiempo, podrían sufrir presión si las empresas creen que los atacantes pueden convertir fallos en armas más rápido que antes.

El investigador de seguridad Himanshu Anand, citado en el artículo, argumentó que la ventana de divulgación responsable de 90 días se diseñó para un mundo en el que los buscadores de bugs eran escasos y el desarrollo de exploits era lento. La afirmación recoge el problema estructural. La política de divulgación se basa en el ritmo de descubrimiento y explotación. Si la IA cambia ambos, el marco de políticas puede dejar de encajar con la realidad.

La abundancia actual puede no durar para siempre

Uno de los puntos más interesantes del reportaje es que el auge actual de recompensas podría ser transitorio. Thacker sugirió que ahora los investigadores están cosechando vulnerabilidades accesibles, pero que el próximo año quizá se envíen menos bugs porque gran parte de ese terreno más fácil ya habrá sido cubierto. Si eso ocurre, las empresas podrían enfrentarse a un ciclo en el que los pagos suben ahora y luego quizá deban volver a subir para atraer atención hacia clases de fallos más difíciles.

Eso supondría un cambio importante en la economía de los bug bounty. En lugar de mercados estables para hallazgos expertos escasos, las organizaciones podrían afrontar oleadas de descubrimiento amplificadas por IA: primero abundancia, luego agotamiento de los objetivos obvios y después competencia por investigadores capaces de profundizar más.

Mientras tanto, las empresas deben decidir si sus procesos de seguridad actuales son lo bastante rápidos para este entorno. Las colas de triage, el desarrollo de parches, la coordinación de la divulgación y la comunicación con los usuarios se vuelven más relevantes cuando el tiempo entre el descubrimiento de una vulnerabilidad y su explotabilidad se reduce.

This model is not a real person: how AI is changing online shopping – video
More in Culture

Los modelos de moda generados por IA ponen a prueba nuevas reglas de confianza en el comercio minorista en línea

Los modelos generados por IA están entrando en el comercio electrónico de moda, lo que plantea preguntas sobre la divulgación, el realismo y hasta qué punto la presentación digital debe influir en las decisiones de compra.

Read article

Los programas de seguridad pueden necesitar rediseño, no solo más presupuesto

La lección probable es que las organizaciones no pueden tratar la caza de bugs habilitada por IA como un simple aumento de costos. Más dinero para recompensas puede ayudar, pero no resolverá el problema subyacente del flujo de trabajo si la recepción, la priorización y la remediación siguen calibradas para una era más lenta.

Los programas quizá deban ajustar los umbrales de severidad, automatizar partes de la validación, replantear los plazos de divulgación y distinguir con más claridad entre hallazgos de alto valor y ruido commodity. Ninguno de esos cambios es fácil, especialmente porque los programas de recompensas también tienen valor reputacional: si los investigadores dejan de verlos como eficientes o justos, el mejor talento puede redirigir su esfuerzo a otro lugar.

  • Los sistemas de IA están haciendo más fácil encontrar vulnerabilidades de software y generar exploits.
  • Los programas de bug bounty están recibiendo más hallazgos, lo que cambia la economía de los pagos y del triage.
  • Las empresas grandes quizá puedan absorber la presión con más facilidad que las organizaciones pequeñas.
  • El desarrollo más rápido de exploits podría aumentar la presión sobre los plazos de parcheo y las normas de divulgación de 90 días.

El punto más amplio es simple. La IA está acelerando ambos lados del enfrentamiento en seguridad. Para los proveedores de software, la pregunta ya no es si la detección de vulnerabilidades se acelerará. Ya lo ha hecho. La pregunta ahora es si las instituciones construidas para una economía de seguridad más lenta pueden adaptarse antes de que los atacantes exploten la brecha.

Este artículo está basado en un reportaje de Wired. Leer el artículo original.

Originally published on wired.com