Por Canuto El auge de la inteligencia artificial está transformando los programas de bug bounty en la industria cripto. Aunque facilita la detección de vulnerabilidades, también está provocando una oleada de reportes de baja calidad y falsos positivos que complica el trabajo de los equipos de seguridad.
***
- Cosmos Labs aseguró que su programa de bug bounty registró un aumento de 900% en el volumen de envíos frente al año pasado.
- HackerOne informó que hubo 85.000 envíos válidos de recompensas en 2025, un 7% más que el año anterior.
- Expertos del sector creen que la IA también podría servir como filtro defensivo para separar amenazas reales del ruido.
Los protocolos cripto están advirtiendo sobre un nuevo problema en sus programas de seguridad: el uso creciente de herramientas de inteligencia artificial está disparando la cantidad de reportes de bug bounty, pero una parte importante de ese volumen corresponde a informes deficientes, erróneos o directamente irrelevantes.
En el sector blockchain, los bug bounty son mecanismos mediante los cuales proyectos y empresas recompensan a investigadores de seguridad, también llamados hackers éticos, por identificar vulnerabilidades antes de que sean explotadas por actores maliciosos. En teoría, el modelo fortalece la defensa de sistemas descentralizados. En la práctica, el aumento del volumen ahora está poniendo bajo presión a los equipos encargados de revisar cada reporte.
La situación refleja una de las tensiones más visibles de la adopción de IA en ciberseguridad. Estas herramientas pueden acelerar la revisión de grandes bases de código y ayudar a encontrar posibles fallas. Sin embargo, también son propensas a alucinar, es decir, a presentar como reales problemas que no lo son, algo especialmente delicado cuando los equipos de seguridad tienen recursos limitados.
Según reportó Cointelegraph, varias firmas vinculadas al ecosistema cripto ya están viendo este fenómeno en tiempo real. La preocupación no se limita al aumento de los informes válidos, sino al costo operativo de separar señales útiles de una masa creciente de ruido.
Cosmos Labs reporta un salto drástico en el volumen
Barry Plunkett, co-CEO de Cosmos Labs, dijo el martes que la IA está cambiando la forma en que deben operar los programas de bug bounty. Lo expresó al responder a un cazador de recompensas que acusó al protocolo de ignorar su informe de vulnerabilidad.
De acuerdo con Plunkett, el programa de Cosmos Labs ha registrado un aumento de 900% en el volumen de envíos respecto al año pasado. El directivo precisó que el flujo pasó a ubicarse en un rango de entre 20 y 50 reportes por día.
Ese crecimiento, explicó, vino acompañado por un incremento considerable tanto en los reportes válidos como en los inválidos. El problema para los equipos internos no es solo el número, sino el tiempo y criterio técnico que exige revisar cada caso para determinar si existe una amenaza genuina para el protocolo.
La declaración de Plunkett sugiere que la presión operativa ya está obligando a varios actores del sector a rediseñar sus procesos. En un entorno donde una sola vulnerabilidad crítica puede traducirse en pérdidas millonarias, ignorar un hallazgo real resulta tan peligroso como quedar paralizado por una avalancha de reportes sin sustancia.
Más reportes, más pagos y también más falsos positivos
Kadan Stadelmann, desarrollador blockchain y director de tecnología de Komodo Platform, dijo que también ha observado un aumento notable en los envíos y pagos de bug bounty en distintas organizaciones. Su lectura coincide con una tendencia más amplia dentro de la industria, donde la IA ha reducido la barrera de entrada para producir este tipo de reportes.
Stadelmann afirmó que definitivamente ha habido un aumento en los envíos de baja calidad, y que algunos de ellos han sido falsos positivos, lo que potencialmente sugiere un origen en IA. A su juicio, una explicación posible es que estas herramientas han reducido el costo de elaborar un informe, generando así una afluencia de presentaciones.
La lógica detrás de ese cambio es simple. Si antes detectar, redactar y documentar una vulnerabilidad exigía horas de análisis especializado, ahora una herramienta automatizada puede escanear grandes cantidades de código y producir informes en mucho menos tiempo. El riesgo es que esa eficiencia también multiplique errores, ambigüedades y afirmaciones infundadas.
Para las organizaciones cripto, esto crea una nueva asimetría. Los investigadores tienen más capacidad de producir reportes, pero los equipos defensivos no necesariamente han aumentado su tamaño o presupuesto al mismo ritmo. Como resultado, la congestión en el proceso de revisión puede volverse un problema de seguridad por sí mismo.
El caso de curl expone el cansancio del ecosistema
La presión generada por esta dinámica no se limita a proyectos blockchain. En enero, Daniel Stenberg, creador de la herramienta de transferencia de datos de código abierto curl, anunció que pondría fin a su programa de bug bounty debido a una afluencia de “basura de IA en los informes de vulnerabilidad”.
Stenberg dijo además que estaba agotado de revisarlos. El caso es relevante para la industria cripto porque curl se utiliza en numerosas aplicaciones, incluida infraestructura vinculada a blockchain. En otras palabras, el problema afecta tanto a protocolos descentralizados como a componentes de software sobre los que se apoya parte del ecosistema.
El episodio muestra que el desafío no es solo técnico, sino humano. La revisión constante de informes mal planteados desgasta a los mantenedores y puede empujar a algunos proyectos a reducir o cerrar iniciativas que, bien gestionadas, son valiosas para la seguridad colectiva.
Ese desenlace plantea una pregunta incómoda para el sector: cómo preservar los beneficios de los bug bounty sin convertirlos en un canal inmanejable. Hasta ahora, varias empresas parecen inclinarse por filtros más estrictos y procesos de selección más exigentes.
Las plataformas también registran crecimiento
HackerOne, una de las mayores plataformas de bug bounty del mundo, informó en enero que hubo 85.000 envíos válidos de recompensas en 2025. La cifra representó un aumento de 7% frente al año anterior.
Ese dato confirma que no todo el crecimiento es ruido. También hay más reportes legítimos y más actividad útil para detectar vulnerabilidades reales. El reto para la industria consiste en evitar que el incremento de material irrelevante opaque el valor de los hallazgos auténticos.
En el ámbito cripto, donde las fallas de seguridad pueden derivar en robos inmediatos y difíciles de revertir, la capacidad de distinguir con rapidez entre un error crítico y un falso positivo es especialmente importante. No se trata solo de eficiencia operativa, sino de resiliencia financiera y reputacional.
La misma noticia recordó además que los hackers cripto han robado USD $17.000.000.000 en los últimos 10 años, según datos citados de DefiLlama. Ese telón de fondo ayuda a explicar por qué los programas de recompensas siguen siendo considerados una herramienta central de defensa, aun con sus crecientes complicaciones.
La IA aparece como problema y como posible salida
Frente a este panorama, Cosmos Labs ya comenzó a ajustar su enfoque. Plunkett dijo que la empresa ha endurecido la forma en que puntúa los reportes, prioriza a investigadores de confianza con historial comprobado y trabaja con otros proveedores de bug bounty que ofrecen un triaje más avanzado.
La medida apunta a reducir la carga de revisión y a concentrar recursos en hallazgos con mayor probabilidad de ser relevantes. También sugiere que el prestigio y la trayectoria del investigador pueden ganar peso dentro de estos programas, en un momento en que la abundancia de envíos complica evaluar todo con la misma profundidad.
Stadelmann, por su parte, sostuvo que los programas de bug bounty han demostrado ser fundamentales para defender sistemas descentralizados. Pero también consideró que la propia IA podría transformarse en parte de la solución, si se utiliza para filtrar el ruido antes de que llegue a los ingenieros.
Según su planteamiento, los equipos blockchain tendrán que crear mecanismos de disuasión con IA para filtrar los bug bounty entrantes. Añadió que cuanto más pequeño sea el equipo, mayor será el problema del aumento de reportes, porque los ingenieros de software no tendrán capacidad para examinarlo todo.
Stadelmann concluyó que los sistemas de IA defensiva para filtrar automáticamente los bug bounties serán cruciales. También dijo que los equipos que dependen de este modelo tendrán que desarrollar estándares más estrictos como forma de reducir el número de informes entrantes.
La conclusión que deja este episodio es clara: la inteligencia artificial está elevando tanto la capacidad ofensiva como la defensiva en el terreno de la ciberseguridad. Para el sector cripto, el siguiente paso no será decidir si adopta IA en sus programas de bug bounty, sino cómo hacerlo sin perder precisión, credibilidad ni capacidad de respuesta frente a amenazas reales.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
SpaceX negocia adquisición de Cursor por USD $60.000 millones en apuesta por la IA
IA
Google corrige falla en herramienta de IA para programar que permitía ejecutar código malicioso
Educación
Facultad de derecho de Mississippi exige formación en IA ante presión creciente en tribunales
IA