En ciberseguridad, una de las preguntas más relevantes y, al mismo tiempo, más difíciles de responder con precisión es: ¿cuál es el costo financiero de una vulnerabilidad? Aunque existen diversos programas y prácticas orientados a la gestión de vulnerabilidades, el desafío de asignar un valor monetario a cada falla, especialmente cuando aún no ha sido explotada, sigue poco abordado desde una perspectiva objetiva y cuantitativa.

A medida que los ataques se vuelven más sofisticados, aumentan las exigencias regulatorias y crece la complejidad de los ecosistemas digitales contemporáneos, comprender el costo real de una vulnerabilidad se vuelve esencial. Esta comprensión permite fundamentar decisiones estratégicas de seguridad de la información no solo en percepciones de riesgo, sino también en análisis económicos tangibles.

Contexto y datos analíticos

Históricamente, las decisiones relacionadas con la priorización y la inversión en seguridad se han basado en evaluaciones cualitativas y modelos de riesgo construidos a partir de escenarios hipotéticos. Aunque útiles, estos enfoques no siempre aportan argumentos sólidos para justificar la asignación de recursos frente a áreas como finanzas, producto o dirección ejecutiva.

En este contexto, existe la necesidad de un análisis centrado en la medición económica de vulnerabilidades, basado en datos reales. A partir de un nuevo análisis de datos, este estudio busca responder con mayor precisión la siguiente pregunta:

¿Cuál es el costo de una vulnerabilidad, considerando distintos niveles y categorías de severidad?

Responder esta pregunta aporta un soporte importante para estrategias de priorización, definición presupuestaria y toma de decisiones en seguridad de la información.

Premisas

Para conducir el análisis de forma objetiva, clara y relevante para la toma de decisiones, se establecieron las siguientes premisas. Estas delimitan el alcance del estudio y sustentan el enfoque metodológico adoptado.

1. Las vulnerabilidades tienen valor económico medible: cada vulnerabilidad puede asociarse con un valor monetario que refleja el esfuerzo requerido para su descubrimiento y reporte, así como los riesgos que representa. Los programas de bug bounty se toman como referencia de mercado para esta medición.

2. El valor de la vulnerabilidad aumenta con la severidad: se asume que la severidad de la vulnerabilidad, determinada por impacto y probabilidad de explotación, está directamente relacionada con su costo. Las vulnerabilidades críticas tienden a implicar riesgos mayores y, por tanto, costos superiores.

3. Las recompensas de bug bounty son proxies válidos para estimar payouts organizacionales: los montos pagados en programas de bug bounty se utilizan como estimaciones conservadoras del payout organizacional asociado al descubrimiento y reporte de vulnerabilidades. Para mayor rigor, siempre se utiliza el valor mínimo dentro de cada rango publicado de recompensas.

4. El foco está exclusivamente en la fase de descubrimiento: el análisis no contempla etapas posteriores del ciclo de vida de la vulnerabilidad (como remediación, revalidación, divulgación o impacto de explotación). Se concentra únicamente en la estimación del payout asociado a la identificación.

5. Los recursos de seguridad son limitados y requieren asignación estratégica: dado que los presupuestos de seguridad son finitos, comprender el costo por vulnerabilidad respalda decisiones más efectivas sobre asignación de esfuerzo e inversión.

Fuera de alcance

Aunque relevantes, los siguientes temas quedan fuera del alcance de este estudio:

1. Diseño de una estrategia completa de gestión de vulnerabilidades: este documento no propone un framework integral de gestión de vulnerabilidades; se limita al análisis del payout asociado al descubrimiento. No se abordan temas como priorización de correcciones, políticas de remediación, procesos de respuesta o integración con sistemas de gestión de riesgos.

2. Evaluación o comparación de proveedores, herramientas o métodos específicos: el objetivo no es comparar soluciones ni recomendar plataformas. Los datos de bug bounty se usan exclusivamente como insumo empírico para estimación de payouts, sin juicios de valor sobre efectividad o eficiencia frente a otros enfoques.

3. Estimación del impacto financiero de incidentes reales: el estudio no modela consecuencias financieras de explotaciones exitosas, como fuga de datos, interrupción operativa, sanciones regulatorias o pérdida reputacional. El foco es la medición del payout asociado al descubrimiento, no el impacto final de vulnerabilidades explotadas.

4. Propuestas presupuestarias o recomendaciones directas de asignación de recursos: aunque los resultados pueden apoyar decisiones de inversión en seguridad, este trabajo no ofrece recomendaciones prescriptivas de asignación presupuestaria. La aplicación práctica depende del contexto y de las prioridades de cada organización.

5. Análisis de vulnerabilidades desconocidas o zero-days: el análisis se restringe a vulnerabilidades conocidas y catalogadas. Cuestiones relacionadas con fallas aún no descubiertas, incluidas aquellas explotadas por actores maliciosos antes de su divulgación pública (zero-days), están fuera de alcance.

Enfoque

Inspirado en la teoría de la asimetría de información presentada en The Market for Lemons: Quality Uncertainty and the Market Mechanism [1], este estudio parte de la premisa de que los mercados pueden revelar precios incluso bajo incertidumbre sobre la calidad del bien transado, siempre que existan mecanismos de señalización mínimamente estables.

En seguridad de la información, los programas de bug bounty funcionan como esos mecanismos al asignar valores monetarios diferenciados a las vulnerabilidades según su severidad percibida. Por lo tanto, se asume que las recompensas reflejan, de forma conservadora, un valor de mercado asociado al descubrimiento y reporte de vulnerabilidades, mitigando parcialmente la asimetría entre quienes identifican vulnerabilidades y quienes soportan su riesgo. Con base en esta premisa, la metodología adopta un enfoque cuantitativo y comparativo, utilizando datos reales de programas de bug bounty para estimar niveles típicos de payout organizacional entre categorías de severidad.

Aunque las recompensas no representan el costo total derivado de la existencia o explotación de una vulnerabilidad, aportan un proxy estandarizado y empíricamente observable para la medición económica. Desde la perspectiva de la asimetría de información, los programas de bug bounty operan como mercados de incentivos en los que el precio señala no solo el valor percibido de la vulnerabilidad, sino también el esfuerzo esperado para su descubrimiento. En este esquema, los investigadores independientes tienden a invertir racionalmente solo cuando el payout neto esperado supera los costos marginales de descubrimiento, validación y reporte, condición necesaria para la rentabilidad y la continuidad operativa.

Cuando los montos ofrecidos se perciben como insuficientes frente a la complejidad de la superficie de ataque o los requisitos de validación, el compromiso y el volumen de reportes tienden a caer. De forma simétrica, las organizaciones ajustan dinámicamente las recompensas como mecanismos de atracción o desincentivo, aumentándolas cuando escasean reportes calificados o reduciéndolas cuando el volumen de vulnerabilidades reportadas excede la capacidad de clasificación y remediación.

Este ciclo de entrada, salida y migración entre programas actúa como un mecanismo autocorrectivo. En consecuencia, aunque la asimetría de información no desaparece por completo, tiende a mantenerse residual y operacionalmente aceptable, ya que desajustes persistentes entre esfuerzo requerido y pago ofrecido son detectados rápidamente por los investigadores y repercutidos en la dinámica de precios del mercado.

Alcance del análisis

El análisis se restringe a la etapa de descubrimiento de vulnerabilidades, es decir, al esfuerzo necesario para identificar y reportar una vulnerabilidad con evidencia técnica. Las fases de remediación, revalidación y divulgación quedan fuera de alcance. Los datos se obtienen exclusivamente de fuentes públicas, priorizando:

  • Plataformas de bug bounty con información abierta;
  • Recompensas categorizadas por severidad;
  • Múltiples geografías, para mayor representatividad.

Justificación del enfoque

Al utilizar datos de mercado (recompensas efectivamente pagadas), este enfoque evita la subjetividad típica de las estimaciones de impacto y adopta un criterio reconocido en distintos sectores como referencia práctica de valor. Este método también permite comparaciones futuras con otros modelos de inversión en seguridad, como pruebas de penetración (pentests) o herramientas automatizadas, proporcionando una base concreta para evaluar retorno sobre la inversión (ROI) y orientar la asignación de recursos.

Metodología

La metodología adoptada en este estudio fue diseñada para garantizar transparencia, reproducibilidad y consistencia en el análisis de datos extraídos de plataformas públicas de bug bounty. A continuación se detallan las principales etapas del proceso:

  1. La recolección de datos se realiza mediante scrapers propios desarrollados para extraer información de programas activos que:
  • Divulgan valores financieros asignados a vulnerabilidades;
  • Clasifican claramente las fallas por severidad.
  • Se incluyen programas de empresas de distintos tamaños y sectores, con cobertura nacional e internacional, para capturar una visión representativa del mercado.
  1. Después de la recolección, los datos se filtran con los siguientes criterios de exclusión:
  • Iniciativas VDP (Vulnerability Disclosure Program) que no ofrecen recompensas financieras;
  • Programas con datos inconsistentes o incompletos de severidad o recompensas;
  • Recompensas genéricas sin vínculo con severidad.
  1. Las recompensas se clasifican en las siguientes categorías, con base en las descripciones proporcionadas por los programas o, cuando no están disponibles, en criterios compatibles con el estándar CVSS:
Informativa
Baja
Media
Alta
Crítica
  1. Normalización de valores, para evitar distorsiones en los resultados:
  • Para rangos de valores (por ejemplo, $1,000 a $5,000), se utiliza el valor mínimo del rango, adoptando un enfoque conservador;
  • Todos los valores se convierten a dólares estadounidenses (USD), con base en una tasa de cambio de referencia.

Análisis

Se analizaron 808 programas de bug bounty, distribuidos entre HackerOne, Bugcrowd, YesWeHack, Intigriti, BugHunt y Bugpay. La muestra incluye programas activos de organizaciones con diferentes tamaños, sectores y ubicaciones geográficas, lo que proporciona una visión amplia y representativa del mercado de recompensas por vulnerabilidades.

Distribution of bug bounty programs by platform

Figura 1: distribución de programas de bug bounty por plataforma.

Los datos utilizados en este análisis están disponibles para reproducción y verificación en el repositorio: https://huggingface.co/datasets/lesis-lat/bug-bounty-programs-rewards/viewer/default/train

Distribution of bug bounty programs by visibility type

Figura 2: distribución de programas de bug bounty por tipo de visibilidad (público vs privado).

La tabla siguiente presenta los valores mínimos y máximos de recompensa observados en cada categoría de severidad, destacando la amplia variación existente entre programas y plataformas. En particular, mientras que vulnerabilidades de baja severidad pueden tener recompensas mínimas simbólicas, los rangos superiores, especialmente para severidades alta y crítica, alcanzan valores significativamente elevados, reflejando diferentes estrategias de incentivo y percepción de riesgo.

  Baja Media Alta Crítica
Mínimo $1.00 $3.00 $5.00 $50.00
Máximo $2,000.00 $47,175.93 $58,969.91 $100,000.00

Tabla 1: valores mínimo y máximo de recompensas de bug bounty por severidad (USD).

Estos valores delimitan todo el rango de variación de los datos observados y sirven de base para análisis estadísticos más robustos.

Adicionalmente, el análisis de tendencia central revela patrones más estables de precios por severidad. La tabla siguiente presenta valores de media, mediana y moda, indicando que, pese a la presencia de outliers relevantes, la concentración de recompensas ocurre en niveles bien definidos para cada categoría.

Severidad Media Mediana Moda
Baja $154.75 $100.00 $100.00
Media $563.93 $350.00 $500.00
Alta $1,825.83 $1,000.00 $1,000.00
Crítica $4,601.35 $3,000.00 $3,000.00

Tabla 2: media, mediana y moda de recompensas por severidad (USD).

Platform comparison by severity medians

Figura 3: comparación de la mediana de recompensas por plataforma y severidad.

Comparar media y mediana a la luz de los coeficientes de skewness indica que la media aritmética no representa adecuadamente el comportamiento típico de las recompensas por vulnerabilidad. Todas las categorías de severidad presentan alta asimetría positiva (skewness variando aproximadamente entre 6.49 y 21.72), evidenciando distribuciones fuertemente concentradas en valores bajos, con pocos pagos excepcionalmente altos. Aunque la intensidad del skewness varía entre severidades, especialmente en vulnerabilidades de severidad media, este patrón explica la divergencia sistemática entre media y mediana y confirma la sensibilidad de la media a valores extremos, haciendo más apropiadas las métricas robustas para la interpretación de datos.

Typical vulnerability prices by severity across platforms

Figura 4: precios típicos de vulnerabilidades por severidad entre plataformas.

La variabilidad de los valores de recompensa se evaluó mediante el rango intercuartílico (IQR), que captura la dispersión del núcleo central de la distribución. Se observa un aumento consistente de la variabilidad típica a medida que crece la severidad de la vulnerabilidad. Para vulnerabilidades de baja severidad, el IQR es aproximadamente USD 141.03, indicando mayor concentración de valores practicados. Este intervalo se amplía a USD 300.00 para severidad media, USD 1,410.30 para severidad alta y USD 3,500.00 para vulnerabilidades críticas, mostrando una expansión progresiva del rango en el que se concentran las recompensas más frecuentes. Este comportamiento indica que vulnerabilidades más severas se asocian no solo con valores más altos, sino también con mayor incertidumbre económica de precios.

Median rewards by severity for public versus private programs

Figura 5: medianas de recompensas por severidad en programas públicos vs privados.

En conjunto, los resultados muestran que, aunque existen patrones consistentes de precios por severidad, el mercado de bug bounty presenta alta heterogeneidad y presencia recurrente de valores extremos. Aun así, las estadísticas de tendencia central y dispersión sustentan la conclusión de que el descubrimiento de vulnerabilidades tiene un valor económico observable y diferenciado por nivel de severidad.

Por lo tanto, es metodológicamente adecuado establecer rangos típicos de payout por severidad, siempre que esos rangos se definan mediante medidas robustas como mediana e IQR y no se interpreten como límites determinísticos. Con base en los datos analizados, el descubrimiento de vulnerabilidades de baja severidad presenta un payout típico concentrado entre aproximadamente USD 59 y USD 200, con mediana de USD 100. Para severidad media, el rango típico se ubica entre USD 200 y USD 500, con mediana en torno a USD 350. Las vulnerabilidades de alta severidad muestran mayor dispersión, con valores concentrados entre USD 590 y USD 2,000 y mediana de USD 1,000, mientras que las vulnerabilidades críticas exhiben los rangos de payout más altos, aproximadamente entre USD 1,500 y USD 5,000, con mediana de USD 3,000. Estos rangos reflejan el comportamiento típico del mercado y destacan el aumento progresivo de la incertidumbre económica a medida que aumenta la severidad.

Conclusión

Este estudio investigó la economía de los pagos de recompensa (payouts) por vulnerabilidad mediante un enfoque cuantitativo basado en datos reales de programas de bug bounty. En este contexto, “costo” se refiere al valor pagado por las organizaciones por reportes de vulnerabilidad aceptados, y no al costo interno de esfuerzo incurrido por los investigadores para descubrir y reportar vulnerabilidades. Partiendo de la premisa de que estos programas operan como mecanismos de mercado bajo asimetría de información, el análisis buscó estimar objetivamente cómo varían los valores de payout según la severidad.

Los resultados muestran que el descubrimiento de vulnerabilidades tiene un valor económico observable y sistemáticamente diferenciado por severidad. Los análisis estadísticos evidenciaron distribuciones fuertemente asimétricas en todas las categorías, con valores extremos recurrentes, lo que vuelve a la media aritmética inadecuada como métrica representativa aislada. En contraste, medidas robustas como mediana e IQR resultaron más apropiadas para capturar el comportamiento típico del mercado.

Con base en estos indicadores, fue posible estimar rangos típicos de payout asociados al descubrimiento de vulnerabilidades. Las vulnerabilidades de baja severidad presentan valores concentrados entre aproximadamente USD 59 y USD 200, con mediana de USD 100. Para severidad media, el rango típico se ubica entre USD 200 y USD 500, con mediana en torno a USD 350. Las vulnerabilidades de alta severidad se concentran entre USD 590 y USD 2,000, con mediana de USD 1,000, mientras que las vulnerabilidades críticas presentan los rangos de payout más altos, aproximadamente entre USD 1,500 y USD 5,000, con mediana de USD 3,000. Estos rangos reflejan el comportamiento típico del mercado y destacan el aumento progresivo de la variabilidad económica conforme aumenta la severidad.

Desde una perspectiva económica, estos hallazgos refuerzan la interpretación de los programas de bug bounty como mercados de incentivos en los que las recompensas funcionan como señales que equilibran la oferta de esfuerzo especializado de investigadores y la demanda organizacional de descubrimiento de fallas. En este entorno, los investigadores tienden a asignar esfuerzo solo cuando el retorno esperado excede el costo marginal, sosteniendo la rentabilidad y la continuidad operativa. La asimetría de información, aunque persiste, es disciplinada por la dinámica de migración entre programas y tiende a mantenerse en niveles bajos y aceptables. Aunque estas recompensas no representan el costo total asociado a la existencia o explotación de una vulnerabilidad, sí proporcionan un proxy empírico estandarizado del payout organizacional asociado a su identificación y reporte.

Desde una perspectiva práctica, estimar el Expected Vulnerability Discovery Cost (EVDC) por severidad aporta soporte objetivo para decisiones de priorización, planificación presupuestaria y evaluación de inversiones en seguridad. Al traducir vulnerabilidades en rangos económicos medibles, el estudio ayuda a reducir la dependencia exclusiva de evaluaciones cualitativas y acerca la gestión de vulnerabilidades a una lógica económica comparable con otras inversiones en tecnología y riesgo.

Finalmente, aunque limitado al alcance del descubrimiento y a programas de bug bounty, este trabajo establece una base empírica para investigaciones futuras que exploren la relación entre costo de descubrimiento, costo de remediación e impacto de explotación, así como comparaciones con otros modelos de inversión en seguridad. En este sentido, el análisis no busca ofrecer valores determinísticos, sino referencias económicas robustas para comprender y discutir los costos de vulnerabilidades en entornos digitales contemporáneos.

Referencias

  1. https://www.sfu.ca/~wainwrig/Econ400/akerlof.pdf
  2. https://www.cl.cam.ac.uk/archive/rja14/Papers/sciecon2.pdf
Compartilhe em: