Desde 2010, Google recompensa a los investigadores de seguridad que identifican fallos en sus productos. En 2025, el gigante tecnológico pagó una suma récord a estos expertos, demostrando la creciente importancia de su contribución a la seguridad de las tecnologías modernas. Descubramos cómo este programa continúa adaptándose y expandiéndose para responder a las nuevas amenazas.
Lo esencial a recordar
- El Vulnerability Reward Program (VRP) de Google ha distribuido más de 81 millones de dólares desde 2010.
- En 2025, se pagaron 17,1 millones de dólares a más de 700 investigadores, marcando un aumento del 40% en comparación con el año anterior.
- El programa ha integrado nuevas categorías, incluyendo la inteligencia artificial y la herramienta OSV-SCALIBR.
Evolución del Vulnerability Reward Program
Lanzado en 2010, el Vulnerability Reward Program (VRP) de Google ha evolucionado progresivamente para incluir diversos productos y tecnologías. Inicialmente centrado en plataformas como Android y Chrome, el programa se ha ampliado para cubrir los servicios en la nube y el software de código abierto. En 2025, la introducción de la inteligencia artificial en el VRP marcó una nueva etapa, subrayando la prioridad de Google en asegurar sus innovaciones tecnológicas.
Con un monto total de 81,6 millones de dólares pagados en 15 años, el VRP continúa adaptándose a las necesidades de la seguridad digital. Esta expansión permite no solo anticipar las amenazas potenciales sino también reforzar la confianza de los usuarios en los productos de Google.
Enfoque en la inteligencia artificial y la nube
En 2025, la inteligencia artificial fue destacada con la creación de un programa dedicado, separado del Abuse VRP. Esta iniciativa permite a los investigadores enfocarse específicamente en las vulnerabilidades en los modelos de aprendizaje automático y las funciones de IA, como las de Gemini. Se han establecido reglas precisas y escalas de recompensas para cada escenario elegible, facilitando así el trabajo de los investigadores.
Las sesiones de hacking por invitación, llamadas bugSWAT, también han contribuido a la mejora de los dispositivos de seguridad. Eventos organizados en ciudades como Tokio, Sunnyvale y Ciudad de México han permitido explorar superficies de ataque específicas, involucrando IA, Android y la nube, y generando recompensas significativas para los participantes.
Impacto de las herramientas de código abierto y desafíos relacionados con la IA
Con la introducción de OSV-SCALIBR, Google ha reforzado su estrategia de seguridad en código abierto. Esta herramienta detecta vulnerabilidades en las dependencias de software, permitiendo a los investigadores contribuir activamente a la mejora de la seguridad de las aplicaciones. Se ofrecen recompensas para enriquecer esta herramienta, fomentando las contribuciones externas.
Sin embargo, el uso creciente de herramientas de inteligencia artificial para generar informes de errores ha planteado desafíos. Se han reportado casos de falsas alertas, como con el proyecto Curl, donde una mínima parte de los reportes resultó ser verídica. Esta situación ha llevado a algunos equipos, incluyendo HackerOne, a revisar temporalmente sus procedimientos de envío.
El futuro de la seguridad informática y los bug bounties
Con los avances tecnológicos incesantes, la seguridad informática sigue siendo una prioridad. Los programas de bug bounties, como el de Google, ilustran la importancia de la colaboración entre empresas e investigadores independientes para anticipar y neutralizar las amenazas. A medida que las tecnologías evolucionan, estas iniciativas continuarán adaptando sus estrategias para enfrentar los desafíos del mañana, especialmente con el auge de la IA y el Internet de las cosas (IoT).
