AMD paga 0$ por fallo crítico: 124 días de silencio

Un investigador reportó una vulnerabilidad crítica en AMD. La respuesta: 124 días de espera y cero compensación. Esto es lo que significa para tu seguridad.

Minimalismo Digital Tecnologia Seguridad

AMD paga 0$ por fallo crítico: 124 días de silencio

Un investigador de seguridad reportó una vulnerabilidad crítica en productos AMD el 11 de septiembre de 2024. AMD tardó 124 días en parchearla y luego rechazó el pago de 10.000 dólares de la recompensa por bugs, alegando que el investigador no cumplió con los plazos de divulgación.

Por qué importa

El programa de bug bounty de AMD promete hasta 30.000 dólares por fallos críticos. Pero cuando un investigador encontró uno real —una vulnerabilidad que permitía a un atacante ejecutar código arbitrario— la compañía usó tecnicismos para no pagar. El investigador, que pidió permanecer anónimo, siguió las reglas: reportó el fallo de inmediato, colaboró durante meses y esperó a que AMD lanzara el parche antes de hacer público el hallazgo. Aun así, AMD argumentó que el reporte inicial no incluía suficiente detalle, aunque el investigador había enviado un exploit funcional.

Para el usuario final, esto no es solo una disputa entre empresas y hackers. Significa que los investigadores de seguridad tienen menos incentivos para reportar fallos a AMD. Y si no reportan, los fallos quedan sin parchear, o se venden en el mercado negro. Tu equipo con chip AMD podría estar ejecutando código no autorizado sin que lo sepas.

Qué dice el contexto

El fallo fue reportado el 11 de septiembre de 2024. AMD lo parcheó el 13 de enero de 2025: 124 días después.
La recompensa máxima por un fallo crítico es de 30.000 dólares. AMD ofreció 0.
El investigador siguió el proceso: reporte inicial con PoC, colaboración continua, divulgación responsable tras el parche.
AMD justificó el impago diciendo que el reporte inicial no cumplía con los requisitos de documentación, aunque el investigador envió un exploit funcional.
El caso se hizo público en Hacker News y foros de seguridad, generando críticas a la política de recompensas de AMD.

Lo que puedes hacer

Verifica si tu equipo AMD tiene las últimas actualizaciones de firmware. El parche se lanzó en enero de 2025. Si no lo has aplicado, hazlo ahora. Busca en el sitio de soporte de tu fabricante (Dell, HP, Lenovo) la actualización de BIOS más reciente.
No confíes ciegamente en los programas de bug bounty. Si eres desarrollador o investigador, documenta cada paso con capturas de pantalla y correos. Establece expectativas claras por escrito antes de compartir detalles técnicos.
Exige transparencia a los fabricantes. Cuando compres hardware, revisa su historial de respuesta a vulnerabilidades. Empresas con programas de recompensa justos suelen parchear más rápido y tienen mejor reputación en la comunidad de seguridad.

En una frase

“

AMD tardó 124 días en parchear un fallo crítico y luego se negó a pagar los 10.000 dólares de recompensa, desincentivando futuros reportes de seguridad.

Por qué importa

Qué dice el contexto

El fallo fue reportado el 11 de septiembre de 2024. AMD lo parcheó el 13 de enero de 2025: 124 días después.

La recompensa máxima por un fallo crítico es de 30.000 dólares. AMD ofreció 0.

El investigador siguió el proceso: reporte inicial con PoC, colaboración continua, divulgación responsable tras el parche.

AMD justificó el impago diciendo que el reporte inicial no cumplía con los requisitos de documentación, aunque el investigador envió un exploit funcional.

El caso se hizo público en Hacker News y foros de seguridad, generando críticas a la política de recompensas de AMD.

Lo que puedes hacer

Verifica si tu equipo AMD tiene las últimas actualizaciones de firmware. El parche se lanzó en enero de 2025. Si no lo has aplicado, hazlo ahora. Busca en el sitio de soporte de tu fabricante (Dell, HP, Lenovo) la actualización de BIOS más reciente.

No confíes ciegamente en los programas de bug bounty. Si eres desarrollador o investigador, documenta cada paso con capturas de pantalla y correos. Establece expectativas claras por escrito antes de compartir detalles técnicos.

Exige transparencia a los fabricantes. Cuando compres hardware, revisa su historial de respuesta a vulnerabilidades. Empresas con programas de recompensa justos suelen parchear más rápido y tienen mejor reputación en la comunidad de seguridad.