(https://i.imgur.com/edLwFdh.jpeg)
El proyecto curl, una de las utilidades de línea de comandos más utilizadas en el mundo para la transferencia de datos a través de múltiples protocolos, ha anunciado una decisión drástica pero reveladora del estado actual de la seguridad informática: el fin de su programa de recompensas por errores (bug bounty) en HackerOne. La medida llega tras verse completamente desbordado por una avalancha de informes de vulnerabilidades de baja calidad, muchos de ellos aparentemente generados por inteligencia artificial.
La decisión fue detectada inicialmente en una documentación pendiente de commit dentro del repositorio oficial del proyecto, concretamente en el archivo BUG-BOUNTY.md, donde se eliminaron todas las referencias al programa de recompensas gestionado a través de HackerOne. Una vez fusionado el cambio, el documento indicará explícitamente que curl ya no ofrece recompensas económicas por errores de seguridad, ni tampoco asistirá a investigadores que intenten obtener compensación de terceros.
Citar"Hasta finales de enero de 2026 había una recompensa por los bugs de curl. Ya no existe", señala el texto actualizado. "El proyecto curl ya no ofrece ninguna recompensa por errores o vulnerabilidades reportadas, ni ayuda a los investigadores de seguridad a obtener compensaciones de otras fuentes".
Qué es curl y por qué es crítico para InternetCurl es una herramienta de línea de comandos esencial para la comunicación con servicios web, utilizada para transferir datos mediante protocolos como HTTP, HTTPS, FTP, SFTP y muchos otros. Su biblioteca asociada, libcurl, está integrada en miles de aplicaciones, sistemas embebidos, plataformas cloud, dispositivos IoT y software empresarial.
Debido a su amplia adopción, cualquier vulnerabilidad en curl o libcurl puede tener un impacto masivo, lo que explica por qué el proyecto lanzó en 2019 un programa de recompensas por errores, gestionado a través de HackerOne e Internet Bug Bounty, incentivando la divulgación responsable de fallos de seguridad.
El problema: informes basura y vulnerabilidades inexistentesSegún Daniel Stenberg, fundador y desarrollador principal de curl, el programa comenzó a experimentar un crecimiento descontrolado de reportes de bajo esfuerzo, inválidos o directamente inútiles, muchos de los cuales parecen haber sido generados por herramientas de IA.
CitarEste fenómeno, al que el propio Stenberg se refiere como "basura de IA", describe una creciente cantidad de contenido que "suena bien", utiliza terminología técnica y formatos correctos, pero carece de análisis real, pruebas funcionales o impacto de seguridad verificable.
En una publicación reciente en su lista de correo personal, Stenberg detalló el nivel de saturación alcanzado por el equipo de seguridad:
Citar"Empezamos la semana recibiendo siete informes de HackerOne en un periodo de dieciséis horas. Algunos parecían bugs reales, lo que me llevó bastante tiempo investigarlos. Finalmente concluimos que ninguno identificaba una vulnerabilidad real".
A comienzos de 2026, el proyecto ya había recibido 20 envíos solo en el primer mes del año, una carga insostenible para un proyecto pequeño, mantenido por un número limitado de desarrolladores activos.
El cierre del bug bounty como medida de supervivenciaStenberg fue claro al explicar que el objetivo principal de cerrar el programa de recompensas es eliminar el incentivo económico que impulsa el envío masivo de informes poco investigados, independientemente de si son generados por humanos o por IA.
Citar"La avalancha actual de envíos ha puesto una carga enorme sobre el equipo de seguridad de curl. Esto es un intento de reducir el ruido y proteger la salud mental de los mantenedores".
Aunque reconoce que abandonar HackerOne no garantiza que los informes basura desaparezcan, considera que la medida es necesaria para asegurar la sostenibilidad del proyecto a largo plazo.
Un problema creciente en la seguridad open sourceStenberg también compartió datos que muestran un aumento desproporcionado de reportes en curl en comparación con otros proyectos open source alojados en HackerOne, lo que sugiere que los programas de recompensas más visibles y antiguos están siendo objetivo preferente de envíos automatizados.
Citar"Parece que tenemos datos que confirman que la recompensa por errores de curl ha recibido un aumento considerable en la tasa de envíos hasta 2025, mientras que otros proyectos similares no lo han hecho", publicó en Mastodon.
Este escenario plantea un debate más amplio sobre el impacto de la IA generativa en los programas de bug bounty, donde la cantidad de informes puede aumentar exponencialmente, pero la calidad y el valor real disminuyen.
Nuevo proceso de reporte de vulnerabilidades en curl
El abandono de HackerOne no será inmediato, sino que se realizará de forma escalonada:
- Hasta el 31 de enero de 2026, curl seguirá aceptando informes enviados a través de HackerOne.
- Los reportes en curso continuarán siendo evaluados.
- A partir del 1 de febrero de 2026, el proyecto dejará de aceptar nuevas propuestas en HackerOne.
- Los investigadores deberán reportar vulnerabilidades directamente a través de GitHub, siguiendo los canales oficiales del proyecto.
Este cambio también se refleja en una reciente actualización del archivo security.txt, donde curl deja claro que no ofrece compensación económica y advierte que los envíos considerados "basura" pueden resultar en bloqueos e incluso ridiculización pública.
Un precedente para la industriaDaniel Stenberg ha adelantado que publicará una entrada detallada en su blog con más información sobre esta transición. Mientras tanto, la decisión de curl sienta un precedente importante: los programas de recompensas por errores no son inmunes a los efectos negativos de la automatización y la IA mal utilizada.
Para la comunidad de seguridad, este caso pone sobre la mesa la necesidad de replantear los modelos de bug bounty, mejorar los filtros de calidad y reforzar la colaboración responsable, especialmente en proyectos open source críticos que sostienen gran parte de la infraestructura de Internet.
Fuente: https://www.bleepingcomputer.com/