Demuestra el fallo y cobra: Mozilla fomenta la calidad entre los cazadores de bugs
Atrás quedó la época de descubrimientos sencillos y ganancias fáciles.
Los desarrolladores de Firefox revisaron las reglas de uno de los programas de recompensas por vulnerabilidades más antiguos. En dos décadas la iniciativa se convirtió en un referente para la industria, pero la naturaleza cambiante de las amenazas obligó al equipo a actualizar el enfoque — ahora el énfasis está en problemas realmente críticos e investigaciones de calidad.
Mozilla decidió prácticamente no cambiar el proceso de envío de informes, para no alterar el trabajo habitual de los especialistas. Los principales cambios afectan a los requisitos sobre los hallazgos. El equipo se orienta por la relevancia práctica: tienen prioridad las vulnerabilidades confirmadas con escenarios reproducibles. Ahora, para obtener la recompensa es necesario adjuntar un ejemplo de prueba sencillo que demuestre el problema. Los informes sin pruebas convincentes se examinarán en último lugar.
Se prestó atención especial a la originalidad. En los últimos años aumentaron los duplicados y las situaciones en las que participantes externos adelantaban a las herramientas internas de análisis. Para reducir esos casos, Mozilla introdujo un plazo adicional de siete días — durante ese tiempo los sistemas automáticos de la empresa tienen la oportunidad de detectar los defectos primero. Según los desarrolladores, esta medida debería impulsar a la comunidad a realizar investigaciones más profundas y originales, en lugar de repetir resultados ya conocidos.
Los cambios afectaron también el enfoque arquitectónico de la seguridad. Firefox ya utiliza procesos aislados para reducir riesgos, y ahora los pagos máximos estarán disponibles solo por ataques que afecten al proceso principal con un nivel de privilegios más alto. En 2026, el navegador recibirá un proceso aislado separado para el manejo de gráficos en todos los sistemas operativos. Después de eso, las vulnerabilidades en la pila gráfica dejarán de considerarse como un escape completo del sandbox, aunque seguirán teniendo alta prioridad por el riesgo de corrupción de memoria.
También se revisó el sistema de pagos. Por «escape del sandbox» ahora se entienden solo los ataques que otorgan control sobre un proceso con más privilegios. La lectura de memoria o los ataques entre componentes aislados no entran en esta categoría, aunque siguen siendo hallazgos graves. Las recompensas más altas se pagarán únicamente por eludir los mecanismos de defensa más estrictos.
El equipo de Mozilla considera la actualización un paso lógico en la evolución del programa y espera que las nuevas reglas ayuden a centrarse en las vulnerabilidades realmente peligrosas y aceleren su corrección.