El auge de la IA está generando un nuevo problema en la ciberseguridad: la aparición de reportes falsos de errores en sistemas. Plataformas como HackerOne y Bugcrowd se ven inundadas por informes creados por modelos de lenguaje que simulan hallazgos técnicos… pero que no existen.
De los cazadores de bugs a los “inventores” digitales
Durante años, los bug bounty programs (programas de recompensas por errores) fueron una pieza clave en la seguridad digital. Empresas e instituciones pagan miles de dólares a investigadores por detectar vulnerabilidades reales antes de que los ciberdelincuentes las aprovechen.
Pero algo cambió. En los últimos meses, una nueva amenaza empezó a surgir desde dentro: las vulnerabilidades falsas generadas por inteligencia artificial.
Herramientas como ChatGPT o Claude pueden redactar informes completos, con descripciones verosímiles, fragmentos de código inventado y terminología técnica convincente. El resultado: una avalancha de reportes sin fundamento, creados por usuarios que intentan cobrar recompensas rápidas sin hacer investigación real.
El caso de cURL: cuando el “AI slop” se convierte en un problema
Uno de los ejemplos más claros viene del proyecto cURL, la popular herramienta de transferencia de datos en la web. Su creador, Daniel Stenberg, recibió decenas de reportes “críticos” con títulos alarmantes como:
- “Buffer Overflow Vulnerability in WebSocket Handling”
- “HTTP/3 Stream Dependency Cycle Exploit”
Tras una revisión mínima, descubrió que ninguno tenía base técnica. Eran textos generados por IA, con funciones que no existen, rutas de archivos falsas y código sin sentido.
Stenberg fue tajante:
“Nuestra política actual establece que banearemos instantáneamente a todos los que envían ‘AI slop’.”
El término “AI slop” —literalmente, “papilla de IA”— ya empieza a circular en foros y comunidades técnicas. Describe contenido generado automáticamente: coherente a primera vista, pero vacío de rigor o sustancia técnica.
Cómo detectar un reporte falso generado por IA
Los equipos de seguridad están desarrollando filtros para frenar esta ola de falsos positivos. Algunos indicios comunes:
- Repetición de frases y estructuras idénticas en varios informes.
- Referencias a funciones o archivos inexistentes.
- Código que no compila o no tiene coherencia lógica.
- Ausencia total de proof of concept o de una prueba de explotación real.
El desafío no es menor: los algoritmos generativos son cada vez más convincentes y pueden pasar por humanos con facilidad.
Incentivos perversos en la economía del bug bounty
Grandes compañías como Google, Meta o Apple pagan sumas importantes —de cientos a miles de dólares— por vulnerabilidades comprobadas. Esto creó un ecosistema profesional de cazadores de bugs.
Sin embargo, la irrupción de la IA trajo una tentación evidente: pedirle a un modelo que “descubra vulnerabilidades” o invente ejemplos plausibles para enviar a las plataformas. En minutos, el informe está listo. Y aunque parezca profesional, es completamente falso.
El resultado: pérdida de tiempo para los revisores, desgaste de confianza y penalizaciones injustas para investigadores legítimos.
Un dilema ético y de confianza
El problema va más allá del fraude. La IA está erosionando la confianza en un ámbito que depende totalmente de la buena fe:
- Las empresas confían en que el investigador actúa con honestidad.
- Los investigadores confían en que su trabajo será reconocido.
Los reportes falsos alteran ese equilibrio y obligan a las plataformas a endurecer sus políticas.
Aun así, el debate sigue abierto: ¿usar IA para asistir en el análisis de código debería considerarse fraude o una práctica válida si el resultado se verifica manualmente?
La frontera entre ayuda legítima y automatización engañosa se vuelve cada día más difusa.
El futuro de los bug bounty en la era de la IA
La inteligencia artificial puede ser una gran aliada en la detección de vulnerabilidades, análisis estático o simulaciones de ataque. Pero su uso debe estar guiado por criterio humano y ética profesional.
En un mundo saturado de contenido automatizado, la verificación y la transparencia serán los nuevos cimientos de la ciberseguridad.
El equipo de tecnología del Norte Bonaerense seguirá de cerca cómo esta batalla entre la IA y la confianza humana redefine las reglas del juego digital.
