Google ha endurecido el foco de su programa de recompensas: pagará más por fallos muy graves en Android y Chrome, y menos por vulnerabilidades consideradas menores o más fáciles de detectar con ayuda de IA.
El cambio afecta sobre todo a investigadores de seguridad, pero también dice mucho sobre dónde ve Google los riesgos reales para los usuarios. La cifra más llamativa es la nueva recompensa de hasta 1,5 millones de dólares por encontrar un ataque “zero-click full chain Pixel Titan M2 compromise with persistence” en Android. Si ese mismo escenario no incluye persistencia, la cantidad baja a 750.000 dólares. En paralelo, la compañía ajusta el programa para concentrarlo en categorías que considera de mayor impacto práctico.
"Estamos revisando el alcance de nuestro programa para enfatizar las categorías que representan el mayor riesgo para nuestros usuarios" - Google, de Google
Qué cambia en la práctica
La revisión del programa no consiste solo en subir premios. También redefine prioridades. En Android, el esfuerzo se centrará más en vulnerabilidades del kernel de Linux dentro de componentes mantenidos por Google, con una condición clara: los investigadores deben poder demostrar que esos fallos se pueden explotar en un dispositivo Android. Es un ajuste relevante porque desplaza la atención hacia problemas profundos del sistema, no tanto hacia errores menores o más aislados.
En Chrome, la recompensa sube hasta 250.000 dólares por “full chain browser process exploits” en los sistemas operativos y el hardware más recientes. Además, Google pagará hasta 250.128 dólares adicionales por un informe que logre explotar con éxito una asignación que la empresa considera protegida por Miracle Ptr. No es un cambio que un usuario vaya a notar al abrir el navegador o desbloquear el móvil, pero sí influye en qué tipo de fallos reciben más atención y, por tanto, en qué áreas se refuerza antes la seguridad.
Qué impacto puede tener para el usuario
Para quien usa un Pixel o navega en Chrome, esto no introduce ninguna función nueva ni cambia la experiencia diaria de forma visible. El efecto es indirecto: Google intenta atraer investigaciones sobre vulnerabilidades más complejas y potencialmente más dañinas. Hablamos de fallos que, en el peor escenario, podrían comprometer partes críticas del dispositivo o del navegador sin interacción clara del usuario. Ese es el tipo de riesgo que la empresa quiere incentivar a descubrir antes de que lo haga un atacante.
Al mismo tiempo, Google reducirá proporcionalmente las recompensas para vulnerabilidades menores, incluidas aquellas que puedan encontrarse y reportarse con ayuda de IA. La compañía lo plantea como una forma de concentrar el dinero en problemas más difíciles de localizar mediante automatización. Ese matiz importa: no se trata solo de pagar más, sino de pagar de otra manera, premiando más la investigación especializada que los hallazgos de menor complejidad.
"También estamos priorizando categorías que siguen siendo más difíciles de encontrar para las herramientas automatizadas de IA para asegurarnos de recompensar a los investigadores por sus habilidades y talentos únicos" - Google, de Google
Las cifras del programa ayudan a entender por qué Google está afinando el tiro. En 2024 pagó 17,1 millones de dólares a 747 investigadores, más de un 40% interanual y un récord histórico. Desde 2010, el total supera los 81 millones de dólares. Y aun con la reducción de algunas recompensas individuales, la empresa espera que el total abonado en 2026 sea todavía mayor. Visto así, no es simplemente otra actualización corporativa: es una señal de que los fallos más peligrosos en Android y Chrome valen más que nunca, y de que Google quiere que la búsqueda de esas grietas sea mucho más rentable que la de los errores menores.