Las denuncias de vulnerabilidades ya no son especiales
Escala y naturaleza del spam de reportes de vulnerabilidades
- Muchas empresas ahora reciben múltiples reportes no solicitados por semana/día, a menudo claramente generados por IA, de baja calidad o cercanos a la extorsión.
- Patrones comunes: problemas triviales de CSS/UI, hallazgos “críticos” mal clasificados, o reportar el comportamiento previsto como si fueran vulnerabilidades.
- Quienes mantienen y los equipos de seguridad informan agotamiento y consideran cerrar o endurecer los programas (por ejemplo, prohibir reportes escritos por IA, exigir PoC en video, añadir tokens ocultos estilo “turtle123”).
Bug Bounties, incentivos y riesgo legal
- Sugerencias para disuadir el spam: pequeñas tarifas por reporte (posiblemente no reembolsables), micro-muros de pago para formularios de contacto o reglas estrictas.
- Preocupaciones: incentivos desalineados (las empresas pueden rechazar bugs válidos para no pagar), complejidad contable/legal al conservar tarifas, y efectos disuasorios porque los pagos pueden desanonimizar a los investigadores y aumentar la percepción de riesgo de arresto.
- Algunos investigadores cuentan que fueron ignorados o mal recompensados incluso por problemas no triviales de tipo DoS/RCE.
Fatiga de CVE e infierno de dependencias
- Muchos se quejan de la sobrecarga de CVE, especialmente de calificaciones de alta gravedad para problemas de bajo impacto (por ejemplo, ReDoS en herramientas de build/dev, formatos de archivo oscuros).
- Dependabot y los escáneres generan grandes volúmenes de alertas, incluso para dependencias de desarrollo; los equipos luchan por separar el riesgo real del ruido.
- Contraargumento: las dependencias de desarrollo y build son vectores de ataque reales (por ejemplo, cadena de suministro, exfiltración desde sistemas de desarrollo/CI), especialmente en sectores regulados.
- Patrones resultantes: algunos fusionan automáticamente todas las actualizaciones; otros las agrupan o intentan minimizar los grafos de dependencias.
LLMs en seguridad: capacidad y limitaciones
- Consenso: los LLMs reducen enormemente el costo de encontrar muchos bugs superficiales o basados en patrones y también generan grandes volúmenes de reportes falsos o exagerados.
- Algunos ven a los LLMs como iguales o casi iguales a investigadores promedio de bajo esfuerzo para ciertas clases de bugs; otros consideran esa afirmación exagerada e insultante.
- Varias organizaciones ahora usan LLMs para clasificar reportes entrantes, categorizar la gravedad o filtrar spam; otras proponen herramientas agentivas para auditar automáticamente e incluso parchear código.
- Los escépticos subrayan una inteligencia “dentada”: los modelos pueden pasar por alto bugs difíciles, alucinar problemas y aún no pueden ofrecer un análisis fiable de impacto de última milla.
¿Siguen siendo especiales los reportes de vulnerabilidades?
- Un lado: las vulnerabilidades siguen siendo fundamentalmente distintas de los bugs ordinarios; la confidencialidad y la coordinación son aún más importantes ahora que los parches son más fáciles de convertir en armas.
- El otro lado: la correlación entre “reporte de seguridad” y “vulnerabilidad real e impactante” se ha derrumbado, haciendo que los reportes se sientan como simples tickets de bugs ruidosos.
- Muchos argumentan que el recurso escaso ya no es encontrar bugs, sino hacer una clasificación fiable y demostrar impacto en el mundo real.
Práctica de seguridad, métodos formales y cultura
- Algunos abogan por pasar a lenguajes seguros en memoria, métodos formales y un razonamiento más fuerte a nivel de especificación; otros señalan que la indecidibilidad y el alto costo limitan la verificación completa.
- Existe tensión entre “seguridad perfecta o fracaso” frente a la gestión pragmática del riesgo y la defensa en profundidad.
- Varios enfatizan el papel de las relaciones de confianza con investigadores conocidos, mejores incentivos y una interacción más profesional y menos adversarial entre seguridad e ingeniería.
Perspectiva futura (incierta y disputada)
- Una visión: la actual “vulnpocalypse” es temporal; los LLMs consumirán los bugs fáciles y luego se integrarán antes del lanzamiento, reduciendo los reportes externos.
- Contrapunto: los LLMs también amplificarán la creación de código inseguro, y muchas organizaciones nunca adoptarán un escaneo robusto previo al lanzamiento, por lo que el volumen y el ruido seguirán siendo altos.
- Algunos predicen que los programas públicos de recompensas se reducirá o cerrarán debido al slop, empujando el trabajo de seguridad hacia redes de confianza y programas internos o curados.