AMD rechaza pago de $10.000 por vulnerabilidad en software de actualización
· Fuente: El Chapuzas Informático
AMD rechaza pago prometido por vulnerabilidad en software de actualización
AMD incumplió su promesa de pagar $10.000 a un investigador de seguridad tras descubrir una vulnerabilidad crítica de ejecución remota de código en su software de actualización automática, según documentó el investigador MrBruh en febrero de 2026.
Detalles de la vulnerabilidad
El investigador detectó la falla el 27 de enero de 2026 y notificó a AMD el 9 de febrero. A pesar de la gravedad del descubrimiento, la compañía tardó más de 4 meses en notificar públicamente la existencia del problema. La vulnerabilidad fue publicada como CVE-2026-40677 con una puntuación CVSS de 7,7, clasificándola como crítica.
Política de recompensas de AMD
Desde mediados de 2024, AMD estableció un programa de bug bounty que prometía pagos entre $500 y $30.000 dólares por descubrimiento de vulnerabilidades en sus CPU, GPU y software. Este compromiso se alineaba con la posición histórica de la compañía a favor del código abierto y la colaboración con la comunidad de desarrolladores, especialmente visible en iniciativas como GPUOpen y contribuciones a Linux.
Razones del rechazo
AMD argumentó que la vulnerabilidad estaba "fuera de su alcance" del programa de recompensas, alegando tres motivos principales: involucraba un ataque de intermediario (man-in-the-middle), afectaba componentes opcionales y no representaba el nivel de gravedad esperado. Sin embargo, esta justificación contrasta con la puntuación CVSS de 7,7, que indica un riesgo significativo.
El investigador MrBruh documentó 124 días de negociación fallida para obtener la recompensa prometida, generando frustración ante lo que percibe como incumplimiento de las políticas anunciadas por la compañía.
Impacto en la credibilidad
Este caso afecta la confiabilidad del programa de bug bounty de AMD y podría desalentar a futuros investigadores de reportar vulnerabilidades directamente a la compañía. La demora de 4 meses en la divulgación pública también plantea interrogantes sobre los protocolos de respuesta a incidentes de seguridad en AMD.
Veredicto
El rechazo de AMD a pagar por una vulnerabilidad CVSS 7,7 previamente prometida socava la credibilidad de su programa de recompensas y establece un precedente cuestionable sobre el cumplimiento de compromisos públicos.
Mencionados en esta noticia
Preguntas frecuentes
¿Qué vulnerabilidad descubrió MrBruh en AMD?
Una vulnerabilidad de ejecución remota de código (CVE-2026-40677) en el software de actualización automática de AMD, con puntuación CVSS 7,7. Fue descubierta el 27 de enero y reportada el 9 de febrero de 2026.
¿Cuánto dinero rechazó pagar AMD al investigador?
AMD rechazó pagar los $10.000 dólares prometidos en su programa de bug bounty anunciado en 2024, que ofrecía entre $500 y $30.000 según la severidad de la vulnerabilidad.
¿Cuál fue la razón que dio AMD para no pagar?
AMD argumentó que la vulnerabilidad estaba fuera del alcance de su programa por involucrarse un ataque de intermediario, afectar componentes opcionales y no representar el nivel de gravedad esperado.
¿Por cuánto tiempo el investigador intentó obtener la recompensa?
MrBruh documentó 124 días de negociación fallida entre el reporte inicial en febrero y el rechazo definitivo de AMD al pago de la recompensa.
¿Cuál es el impacto de este rechazo en el programa de seguridad de AMD?
El incumplimiento socava la credibilidad del programa de bug bounty de AMD y podría desalentar futuros reportes de vulnerabilidades, afectando la confianza de investigadores independientes.