Descubrió una vulnerabilidad en AMD y se quedó sin recompensa: cómo la empresa «estafó» a un cazador de bugs por $10.000
Un rechazo polémico pone en tela de juicio toda la lógica de los programas de recompensas por encontrar vulnerabilidades.
A veces encontrar una vulnerabilidad resulta más fácil que lograr una respuesta honesta de la empresa. Precisamente esto le ocurrió al investigador de seguridad con el seudónimo MrBruh, que descubrió una brecha seria en el software de AMD y acabó sin recibir la recompensa prometida.
Todo comenzó con una molesta ventana emergente de la utilidad de actualización de AMD en un nuevo equipo de juego. Al estudiar el código del programa, MrBruh averiguó que, aunque la lista de actualizaciones se cargaba por el protocolo seguro HTTPS, los archivos ejecutables se descargaban por HTTP sin cifrar. Además, la utilidad no verificaba ni los certificados ni las firmas de los archivos antes de ejecutarlos.
Esto abría la puerta a un ataque tipo "hombre en el medio": un atacante situado en la misma red o capaz de interferir en la conexión podía sustituir el archivo legítimo de actualización por uno malicioso. Dado que la utilidad se ejecuta con privilegios elevados, el resultado sería la ejecución de código arbitrario en la máquina de la víctima. La vulnerabilidad recibió el identificador CVE-2026-40677 y una puntuación de 7,7 en la escala CVSS 4.0.
MrBruh informó a AMD del problema el 6 de febrero a través del programa de recompensas, pero la compañía cerró la solicitud por no ajustarse a las normas, ya que el escenario requería interceptar el tráfico y afectaba a herramientas opcionales. La recompensa prometida de $10.000 nunca se pagó.
Después, el investigador publicó los resultados de su trabajo en su blog personal. Más tarde la entrada llegó al foro Hacker News, donde pronto ganó popularidad. Entonces AMD pidió a MrBruh que retirara el material, alegando violación de los términos del programa. Sin embargo, según descubrió Gamers Nexus, la compañía cambió las reglas de ese mismo programa después de la publicación del investigador, añadiendo un punto que prohibía la divulgación de información incluso para los informes considerados no aptos. Resultó que acusaron a MrBruh de infringir normas que no existían en el momento en que divulgó la información.
Ciento veinticuatro días después del hallazgo, la vulnerabilidad fue finalmente corregida. Por supuesto, sin pagar al investigador. Versiones corregidas: AMD Ryzen Master 2.14.3, AMD µProf 5.3 y AMD Management Console 14.0.0. AMD declaró que ahora todas las actualizaciones se transmiten por HTTPS y pasan por verificación de firma.
MrBruh examinó el parche y aclaró que, en lugar de una firma criptográfica, solo se aplica una suma de comprobación CRC32, que no protege frente a la sustitución de archivos. Además, encontró un error de redirección por el cual la utilidad puede no actualizarse correctamente a sí misma. El investigador recomienda desinstalar completamente el software de AMD y descargar manualmente las versiones actuales desde el sitio oficial de la compañía.
En conclusión, un problema técnico rutinario se convirtió para AMD en un fracaso reputacional. Sin duda la compañía consiguió ahorrar al instante. Pero a largo plazo solo desanimó a los cazadores de vulnerabilidades a invertir su tiempo. ¿Para qué esforzarse y buscar fallos si no hay garantía de que tu trabajo será valorado y recompensado? Y ese es precisamente el sentido del programa Bug Bounty.