Taxonomia econômica de vulnerabilidades
No campo da cibersegurança, uma das perguntas mais relevantes — e, simultaneamente, uma das mais difíceis de responder com precisão — é: qual é o custo financeiro de uma vulnerabilidade? Embora existam diversos programas e práticas voltadas ao gerenciamento de vulnerabilidades, o desafio de atribuir um valor monetário a cada falha, especialmente quando ainda não explorada, permanece pouco abordado sob uma ótica objetiva e quantitativa.
Com o aumento da sofisticação dos ataques, das exigências regulatórias e da complexidade dos ecossistemas digitais contemporâneos, torna-se fundamental compreender o custo real de uma vulnerabilidade. Tal compreensão possibilita que decisões estratégicas em segurança da informação sejam fundamentadas não apenas em percepções de risco, mas também em análises econômicas tangíveis.
Contexto e dados analíticos
Historicamente, decisões relacionadas à priorização e ao investimento em segurança têm se baseado em avaliações qualitativas e modelos de risco construídos a partir de cenários hipotéticos. Embora úteis, essas abordagens nem sempre oferecem argumentos sólidos para justificar a alocação de recursos frente a áreas como finanças, produto ou liderança executiva.
Nesse cenário, surge a necessidade de uma análise centrada na mensuração econômica das vulnerabilidades, utilizando dados reais. A partir de uma nova análise de dados, este estudo busca responder com maior precisão à seguinte questão:
Qual é o custo de uma vulnerabilidade, considerando diferentes níveis de severidade e categorias?
A resposta a essa pergunta fornecerá subsídios importantes para estratégias de priorização, definição orçamentária e tomada de decisão em segurança da informação.
Premissas
A fim de conduzir a análise de forma objetiva, clara e relevante para a tomada de decisão, estabeleceram-se as seguintes premissas, que delimitam o escopo do estudo e fundamentam a abordagem metodológica adotada.
1. Vulnerabilidades possuem valor econômico mensurável: cada vulnerabilidade pode ser associada a um valor monetário, refletindo o esforço necessário para sua descoberta e reporte, bem como os riscos que ela representa. Programas de bug bounty são considerados referência de mercado para essa mensuração.
2. O valor de uma vulnerabilidade cresce conforme sua severidade: assume-se que a severidade de uma vulnerabilidade — determinada pelo impacto e pela probabilidade de exploração — está diretamente relacionada ao seu custo. Vulnerabilidades críticas tendem a implicar riscos maiores e, portanto, custos mais elevados.
3. Recompensas de bug bounty são proxies válidos para estimativa de custo: os valores pagos em programas de bug bounty são utilizados como estimativas conservadoras para o custo de descoberta de uma vulnerabilidade. Para maior rigor, adotar-se-á sempre o menor valor dentro de cada faixa divulgada.
4. O foco está exclusivamente na fase de descoberta da vulnerabilidade: a análise não contempla etapas subsequentes do ciclo de vida da vulnerabilidade (como correção, revalidação, comunicação ou impacto da exploração), concentrando-se unicamente no custo estimado para sua identificação.
5. Recursos de segurança são limitados e exigem alocação estratégica: partindo do princípio de que os orçamentos em segurança são finitos, compreender o custo unitário das vulnerabilidades permite decisões mais eficazes quanto à alocação de esforços e investimentos.
Fora de escopo
Embora relevantes, os seguintes tópicos não fazem parte do escopo deste estudo:
1. Elaboração de uma estratégia completa de gerenciamento de vulnerabilidades: esse documento não propõe um framework completo de gestão de vulnerabilidades, restringindo-se à análise de custo de identificação. Questões como priorização de correções, políticas de remediação, processos de resposta ou integração com sistemas de gestão de riscos não serão abordadas.
2. Avaliação ou comparação de fornecedores, ferramentas ou métodos específicos: não se objetiva comparar soluções ou recomendar plataformas. Dados de bug bounty são utilizados exclusivamente como insumo empírico para estimativa de custo, sem juízo de valor sobre sua efetividade ou eficiência em comparação a outras abordagens.
3. Estimativas de impacto financeiro de incidentes reais: não serão modeladas consequências financeiras de explorações bem-sucedidas, como vazamentos de dados, interrupções operacionais, penalidades regulatórias ou perdas de reputação. O foco é a mensuração do custo de descoberta, não do impacto final de uma vulnerabilidade explorada.
4. Propostas orçamentárias ou recomendações diretas de alocação de recursos: embora os dados obtidos possam auxiliar na tomada de decisões sobre investimentos em segurança, não se propõe aqui qualquer recomendação prescritiva de alocação orçamentária. A aplicação prática dessas informações dependerá do contexto e das prioridades de cada organização.
5. Análise de vulnerabilidades desconhecidas ou zero-day: a análise se restringe a vulnerabilidades conhecidas e catalogadas. Questões relacionadas a falhas ainda não descobertas, incluindo aquelas exploradas por atores maliciosos antes da divulgação pública (zero-day), estão fora do escopo deste estudo.
Abordagem
Inspirado pela teoria da assimetria de informação apresentada em The Market for Lemons: Quality Uncertainty and the Market Mechanism [1], este estudo parte do princípio de que mercados conseguem revelar preços mesmo em contextos de incerteza quanto à qualidade do bem transacionado, desde que existam mecanismos de sinalização minimamente estáveis.
No contexto da segurança da informação, programas de bug bounty funcionam como tais mecanismos, ao atribuírem valores monetários diferenciados a vulnerabilidades conforme sua severidade percebida. Assume-se, portanto, que as recompensas oferecidas refletem, de maneira conservadora, um valor de mercado associado à descoberta e ao reporte de falhas, mitigando parcialmente a assimetria entre quem identifica a vulnerabilidade e quem sofre seu risco. Com base nessa premissa, a metodologia adota uma abordagem quantitativa e comparativa, utilizando dados reais de programas de bug bounty para estimar níveis típicos de payout organizacional entre categorias de severidade.
Embora tais recompensas não representem o custo total decorrente da existência ou exploração de uma vulnerabilidade, elas constituem um proxy padronizado e empiricamente observável para sua mensuração econômica. Sob a ótica da assimetria de informação, programas de bug bounty operam como mercados de incentivos, nos quais o preço sinaliza não apenas o valor percebido da vulnerabilidade, mas também o esforço esperado para sua descoberta. Nesse arranjo, pesquisadores independentes tendem a investir racionalmente apenas quando o valor esperado da recompensa líquida supera seus custos marginais de descoberta, validação e reporte, condição necessária para manter lucro e viabilidade operacional.
Quando os valores oferecidos são percebidos como insuficientes frente à complexidade da superfície de ataque ou aos requisitos de validação, a tendência é a redução do engajamento e do volume de relatórios submetidos. De forma simétrica, organizações ajustam dinamicamente os valores das recompensas como mecanismo de atração ou desincentivo, elevando-os quando há escassez de relatórios qualificados ou reduzindo-os quando a oferta de vulnerabilidades reportadas excede sua capacidade de triagem e correção.
Esse ciclo de entrada, saída e migração entre programas atua como mecanismo autocorretivo. Assim, embora a assimetria de informação não desapareça por completo, ela tende a permanecer em níveis residuais e operacionalmente aceitáveis, pois desequilíbrios persistentes entre esforço requerido e payout são rapidamente detectados pelos pesquisadores e precificados pelo mercado.
Escopo da análise
A análise se restringe à etapa de descoberta da vulnerabilidade — isto é, ao esforço necessário para identificá-la e reportá-la com evidências técnicas. As fases de correção, revalidação e comunicação estão fora do escopo. Os dados são obtidos exclusivamente em fontes, priorizando:
- Plataformas de bug bounty com informações abertas;
- Recompensas categorizadas por severidade;
- Diversas geografias, para maior representatividade.
Justificativa da abordagem
Ao utilizar dados de mercado — recompensas efetivamente pagas — evita-se a subjetividade típica das estimativas de impacto e se adota um critério reconhecido por diversos setores como referência prática de valor. Esse método também permite realizar comparações posteriores com outros modelos de investimento em segurança, como testes de intrusão (pentests) ou ferramentas automatizadas, fornecendo uma base concreta para avaliar retorno sobre investimento (ROI) e orientação de alocação de recursos.
Metodologia
A metodologia adotada em neste estudo foi desenvolvida com o objetivo de garantir transparência, reprodutibilidade e consistência na análise dos dados extraídos de plataformas públicas de bug bounty. A seguir, são detalhadas as etapas principais do processo:
- A coleta de dados se dará pela utilização de scrapers próprios, desenvolvidos para extrair informações de programas ativos que:
- Divulguem valores financeiros atribuídos a vulnerabilidades;
- Classifiquem claramente as falhas por severidade.
- Serão incluídos programas de empresas de diversos portes e setores, com abrangência nacional e internacional, a fim de capturar um panorama representativo do mercado.
- Após a coleta, os dados são submetidos em um processo de filtragem, com os seguintes critérios de exclusão:
- Programas do tipo VDP (Vulnerability Disclosure Program) que não oferecem recompensas financeiras;
- Programas com dados inconsistentes ou incompletos sobre severidade ou valores;
- Recompensas genéricas sem vinculação à severidade.
- As recompensas são classificadas nas seguintes categorias, com base em descrições fornecidas pelos próprios programas ou, na ausência destas, segundo critérios compatíveis com o padrão CVSS:
Informativa
Baixa
Média
Alta
Crítica
- Normalização dos valores, para evitar distorções nos resultados:
- Em faixas de valores (ex: $ 1.000 a $ 5.000), será utilizado o valor mínimo da faixa, adotando-se uma postura conservadora;
- Todos os valores serão convertidos para dólar (USD), — com base em uma taxa de câmbio de referência.
Análise
Foram analisados 808 programas de bug bounty, distribuídos entre as plataformas HackerOne, Bugcrowd, YesWeHack, Intigriti, BugHunt e Bugpay. A amostra contempla programas ativos de organizações com diferentes portes, setores e localizações geográficas, oferecendo um panorama amplo e representativo do mercado de recompensas por vulnerabilidades.

Figura 1: distribuição de programas de bug bounty por plataforma.
Os dados utilizados nesta análise estão disponíveis para reprodução e verificação no repositório: https://huggingface.co/datasets/lesis-lat/bug-bounty-programs-rewards/viewer/default/train

Figura 2: distribuição de programas de bug bounty por tipo de visibilidade (público vs privado).
A tabela a seguir apresenta os valores mínimos e máximos de recompensa observados em cada categoria de severidade, evidenciando a ampla variação existente entre programas e plataformas. Em particular, nota-se que, embora vulnerabilidades de baixa severidade apresentem recompensas mínimas simbólicas, as faixas superiores — especialmente para severidades altas e críticas — alcançam valores significativamente elevados, refletindo diferentes estratégias de incentivo e percepção de risco.
| Baixo | Médio | Alto | Crítico | |
|---|---|---|---|---|
| Mínimo | $1.00 | $3.00 | $5.00 | $50.00 |
| Máximo | $2,000.00 | $47,175.93 | $58,969.91 | $100,000.00 |
Tabela 1: valores mínimo e máximo das recompensas por severidade (USD).
Esses valores delimitam a faixa completa de variação dos dados observados, servindo como base para análises estatísticas mais robustas.
Complementarmente, a análise de tendência central revela padrões mais estáveis de precificação por severidade. A tabela a seguir apresenta os valores de média, mediana e moda, indicando que, apesar da presença de outliers relevantes, a concentração das recompensas ocorre em patamares bem definidos para cada categoria.
| Severidade | Média | Mediana | Moda |
|---|---|---|---|
| Baixa | $154,75 | $100,00 | $100,00 |
| Média | $563,93 | $350,00 | $500,00 |
| Alta | $1825,83 | $1000,00 | $1000,00 |
| Crítica | $4601,35 | $3000,00 | $3000,00 |
Tabela 2: média, mediana e moda das recompensas por severidade (USD).

Figura 3: comparação da mediana de recompensas por plataforma e severidade.
A comparação entre média e mediana, à luz dos coeficientes de assimetria, indica que a média aritmética não representa adequadamente o comportamento típico das recompensas por vulnerabilidade. Todas as categorias de severidade apresentam assimetria positiva elevada (skewness variando aproximadamente entre 6,49 e 21,72), evidenciando distribuições fortemente concentradas em valores baixos, com poucos pagamentos excepcionalmente altos. Embora a intensidade da assimetria varie entre severidades — com destaque para vulnerabilidades de severidade média — esse padrão explica a divergência sistemática entre média e mediana e confirma a sensibilidade da média a valores extremos, tornando medidas robustas mais adequadas para a interpretação dos dados.

Figura 4: preço típico de vulnerabilidades por severidade entre plataformas.
A variabilidade dos valores de recompensa foi avaliada por meio do intervalo interquartil (IQR), que captura a dispersão do núcleo central da distribuição. Observa-se um aumento consistente da variabilidade típica conforme a severidade da vulnerabilidade cresce. Para vulnerabilidades de baixa severidade, o IQR é de aproximadamente USD 141,03, indicando maior concentração dos valores praticados. Esse intervalo se amplia para USD 300,00 em severidade média, USD 1.410,30 em severidade alta e USD 3.500,00 em vulnerabilidades críticas, evidenciando uma expansão progressiva da faixa na qual se concentram as recompensas mais frequentes. Esse comportamento indica que vulnerabilidades mais severas estão associadas não apenas a valores mais elevados, mas também a maior incerteza econômica quanto à sua precificação.

Figura 5: mediana de recompensas por severidade em programas públicos vs privados.
Em conjunto, os resultados demonstram que, embora existam padrões consistentes de precificação por severidade, o mercado de bug bounty apresenta elevada heterogeneidade e presença recorrente de valores extremos. Ainda assim, as estatísticas de tendência central e dispersão permitem afirmar que a descoberta de vulnerabilidades possui um valor econômico observável e diferenciado por nível de severidade.
Assim, é metodologicamente adequado afirmar faixas de custo por severidade, desde que essas faixas sejam definidas a partir de medidas robustas, como a mediana e o intervalo interquartil, e não interpretadas como limites determinísticos. Com base nos dados analisados, a descoberta de vulnerabilidades de baixa severidade apresenta custo típico concentrado entre aproximadamente USD 59 e USD 200, com mediana de USD 100. Para severidade média, a faixa típica situa-se entre USD 200 e USD 500, com mediana em torno de USD 350. Vulnerabilidades de alta severidade apresentam maior dispersão, com valores concentrados entre USD 590 e USD 2.000, e mediana de USD 1.000, enquanto vulnerabilidades críticas exibem as maiores faixas de custo, aproximadamente entre USD 1.500 e USD 5.000, com mediana de USD 3.000. Essas faixas refletem o comportamento típico do mercado e evidenciam o aumento progressivo da incerteza econômica conforme a severidade da vulnerabilidade cresce.
Conclusão
Este estudo investigou a economia das recompensas (payouts) por vulnerabilidade a partir de uma abordagem quantitativa baseada em dados reais de programas de bug bounty. Neste contexto, “custo” refere-se ao valor pago pelas organizações por relatórios de vulnerabilidade aceitos, e não ao custo operacional do pesquisador para descobrir e reportar vulnerabilidades. Partindo da premissa de que tais programas funcionam como mecanismos de mercado sob assimetria de informação, a análise buscou estimar de forma objetiva como os valores de payout variam conforme sua severidade.
Os resultados demonstram que a descoberta de vulnerabilidades possui um valor econômico observável e sistematicamente diferenciado por severidade. As análises estatísticas evidenciaram distribuições fortemente assimétricas em todas as categorias, com presença recorrente de valores extremos, o que torna a média aritmética inadequada como medida representativa isolada. Em contraste, medidas robustas como a mediana e o intervalo interquartil mostraram-se mais apropriadas para capturar o comportamento típico do mercado.
Com base nesses indicadores, foi possível estimar faixas típicas de payout associadas à descoberta de vulnerabilidades. Vulnerabilidades de baixa severidade apresentam valores concentrados entre aproximadamente USD 59 e USD 200, com mediana de USD 100. Para severidade média, a faixa típica situa-se entre USD 200 e USD 500, com mediana em torno de USD 350. Vulnerabilidades de alta severidade concentram-se entre USD 590 e USD 2.000, com mediana de USD 1.000, enquanto vulnerabilidades críticas apresentam as maiores faixas de payout, entre aproximadamente USD 1.500 e USD 5.000, com mediana de USD 3.000. Essas faixas refletem o comportamento típico do mercado e evidenciam o aumento progressivo da variabilidade econômica conforme a severidade cresce.
Sob a perspectiva econômica, esses achados reforçam a interpretação de programas de bug bounty como mercados de incentivos, nos quais as recompensas funcionam como sinais que equilibram a oferta de esforço especializado por parte dos pesquisadores e a demanda por descoberta de falhas por parte das organizações. Nesse ambiente, pesquisadores tendem a direcionar esforço apenas quando o retorno esperado excede seu custo marginal, o que sustenta a lógica de lucro e continuidade da operação. A assimetria informacional, embora presente, é disciplinada pela migração entre programas e tende a permanecer em patamares baixos e aceitáveis. Embora tais recompensas não representem o custo total associado à existência ou exploração de uma vulnerabilidade, elas constituem um proxy empírico padronizado para o payout organizacional associado à sua identificação e reporte.
Do ponto de vista prático, a estimativa do Expected Vulnerability Discovery Cost (EVDC) por severidade oferece subsídios objetivos para apoiar decisões de priorização, planejamento orçamentário e avaliação de investimentos em segurança da informação. Ao traduzir vulnerabilidades em faixas econômicas mensuráveis, o estudo contribui para reduzir a dependência exclusiva de avaliações qualitativas e aproxima a gestão de vulnerabilidades de uma lógica econômica comparável a outros investimentos em tecnologia e risco.
Por fim, embora limitado ao escopo da descoberta e a programas de bug bounty, este trabalho estabelece uma base empírica para futuras pesquisas que explorem a relação entre custo de descoberta, custo de correção e impacto de exploração, bem como para comparações com outros modelos de investimento em segurança. Nesse sentido, a análise apresentada não busca fornecer valores determinísticos, mas oferecer referências econômicas robustas para compreender e discutir o custo das vulnerabilidades em ambientes digitais contemporâneos.
Referências
- https://www.sfu.ca/~wainwrig/Econ400/akerlof.pdf
- https://www.cl.cam.ac.uk/archive/rja14/Papers/sciecon2.pdf