Google ha reconfigurado sus programas de recompensas por vulnerabilidades para y, al mismo tiempo, ajustar a la baja pagos por vulnerabilidades cuya detección se ha vuelto trivial con herramientas de inteligencia artificial. El cambio redefine qué se valora: los mayores cheques —hasta $1.5 millones— se reservan para escenarios de explotación extremo, como cadenas completas "zero‑click" que comprometen el chip de seguridad Titan M2 en teléfonos Pixel y que además persisten tras el reinicio, mientras que variantes sin persistencia quedan en niveles intermedios (hasta $750,000).
En el terreno del navegador, Google ha elevado las recompensas para exploits full‑chain del proceso del navegador en entornos actualizados, con premios de hasta $250,000 y un bono adicional específico —$250,128— si el investigador consigue vulnerar asignaciones protegidas por MiraclePtr. Pero más allá de las cifras, la reforma trae dos cambios operativos que marcarán la relación entre investigadores y el programa: en Chrome, Google exige reportes concisos con pruebas reproducibles en lugar de extensos análisis narrativos (que la IA puede generar fácilmente), y en Android la atención se restringe a vulnerabilidades del kernel Linux en componentes mantenidos por Google o a fallas demostrablemente explotables en dispositivos Android reales.
Esta reorientación responde a una realidad doble: por un lado, la automatización y las herramientas de IA han permitido generar descripciones técnicas y análisis largos con mucho menos esfuerzo humano, diluyendo el valor de esos informes; por otro, persisten vectores de alto impacto que siguen requiriendo pericia, tiempo y acceso físico o lógico sofisticado, por lo que Google busca reconocerlos con premios superiores y priorizarlos en su triage. Google explica estos cambios en su blog oficial, donde resume la filosofía y las nuevas reglas del programa: Evolving the Android & Chrome VRPs for the AI era. Para quienes quieran consultar la historia de la iniciativa y su evolución, el programa de recompensas de Google existe desde 2010 y acumula pagos significativos: la entrada original y la página del programa ofrecen contexto y criterios de elegibilidad.
¿Qué implica esto para el ecosistema de seguridad? Primero, un incentivo claro para que la investigación se oriente hacia exploits complejos o con impacto real en dispositivos, lo que probablemente elevará la calidad técnica de las vulnerabilidades reportadas en las categorías más altas. Segundo, existe el riesgo de una menor remuneración por fallos que antes podían reportarse con descripciones extensas y ahora quedan desincentivados: investigadores con menos recursos o recién llegados podrían optar por vender hallazgos a mercados grises en lugar de reportarlos si los pagos caen por debajo de lo esperado. Tercero, la exigencia de pruebas concretas hará que la barrera técnica para obtener recompensa sea más alta —no basta con describir un bug, hay que demostrar explotabilidad en condiciones reales—, lo que a su vez puede acelerar la madurez de las pruebas de concepto públicas.
Para equipos de seguridad y administradores, la reestructuración de Google trae señales prácticas: no confíen solo en descripciones largas, prioricen la verificación automática y la reprodudibilidad de parches, y preparen flujos de corrección que integren herramientas de análisis impulsadas por IA para agilizar resoluciones. El refuerzo de funciones como MiraclePtr subraya la importancia de mitigaciones de memoria y de capas adicionales de defensa; por ello es recomendable evaluar la compatibilidad con esas tecnologías y medir su eficacia en entornos controlados antes de desplegarlas masivamente.
Para investigadores y cazadores de bugs, el mensaje es claro: enfocar esfuerzos en la evidencia técnica. Presente pruebas de concepto ejecutables, captures mínimas y, cuando sea relevante, demostraciones en hardware u OS actualizados. Demostrar persistencia o explotabilidad en el mundo real será crucial para aspirar a las recompensas máximas. También conviene documentar el alcance del impacto y colaborar con los equipos de parches para facilitar la remediación, ya que Google ha dicho que su propia instrumentación y herramientas internas cada vez cubren más parte del trabajo de análisis y generación de fixes.
Finalmente, desde una perspectiva de políticas y responsabilidad corporativa, estos cambios sugieren que los programas de bug bounty seguirán adaptándose a la era de la IA: los reguladores y las empresas deben considerar marcos que fomenten la divulgación responsable, ofrezcan protección legal a investigadoras e incentiven la publicación de correcciones en lugar de la monetización en mercados opacos. Mientras Google reportó un año récord en pagos —$17.1 millones en 2025— y un acumulado que supera los $81 millones desde el lanzamiento del programa, el verdadero éxito se medirá en cuántas de esas vulnerabilidades quedan parcheadas y en cuánto se reduce el riesgo para usuarios finales.
En resumen, la reforma del programa de recompensas de Google es una respuesta pragmática a la automatización que trae la IA: más dinero para lo difícil, más exigencia de pruebas para lo demás. Para el sector, la decisión exige ajustar prioridades, mejorar la automatización de triage y fortalecer la colaboración entre investigadores y proveedores para que el incentivo económico se traduzca en software más seguro y menos ataques exitosos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...