Google dijo «¡Bien hecho!» a un investigador, pero después le negó la recompensa por un fallo crítico en la nube que aún no ha reparado

La respuesta contradictoria de Google

La historia de la respuesta de Google es un ejemplo de contradicciones que marean.

Fase 1 — «¡Bien hecho!» O'Leary reportó el fallo a Google el 8 de marzo de 2026 . El 27 de marzo, un ingeniero de seguridad de Google aceptó el informe y le dijo «¡Bien hecho!» . El ingeniero indicó que habían registrado el fallo con el equipo de producto correspondiente y aseguró a O'Leary que trabajarían con Google Cloud para solucionarlo, escribiendo: «Trabajaremos con el equipo de producto para asegurarnos de que este problema se aborda. Le informaremos cuando se haya solucionado» . Google asignó al fallo la prioridad P1 (la más alta) y la severidad S1 (crítica — afecta a un gran porcentaje de usuarios y puede interrumpir funciones organizativas centrales) .

Fase 2 — «Funciona según lo previsto.» El 7 de abril — 11 días después — O'Leary recibió un mensaje de un bot de seguridad de Google que revertía la decisión . El panel del Cloud Vulnerability Reward Program concluyó que el «impacto de seguridad de este problema no cumple los criterios para optar a una recompensa» y que el software «funciona según lo previsto» . Google denegó cualquier pago de recompensa.

La contradicción: Según el informe de The Register del 18 de junio, el rastreador de fallos interno de Google aún mostraba ConfigConfusion como P1/S1 con estado «en curso (aceptado)» — lo que entra en conflicto con la posición pública de que no existe ninguna vulnerabilidad .

Estado sin resolver

A mediados de junio de 2026 — más de tres meses después del informe inicial — la vulnerabilidad sigue sin parche y sin resolver . O'Leary ha publicado desde entonces una entrada de blog de investigación con todos los detalles técnicos en olearysec.com .

Los cambios en los VRP de Google en 2026 — Contexto más amplio

A principios de mayo de 2026, Google reformó sus Programas de Recompensa por Vulnerabilidades (VRP) para Chrome y Android, citando explícitamente el auge de las herramientas de IA en el descubrimiento de vulnerabilidades .

Cambios clave:

• Los pagos de Chrome se redujeron en la mayoría de las categorías. El argumento de Google fue que las herramientas de IA pueden producir fácilmente grandes volúmenes de informes de baja calidad, por lo que reestructuró las recompensas hacia clases de fallos de mayor impacto y más difíciles de automatizar .
• Los pagos máximos de Android aumentaron — un compromiso de cadena completa de Titan M2 sin clic y con persistencia ahora paga hasta 1,5 millones de dólares .
• Las publicaciones de CVE de Chrome se cuadruplicaron interanualmente (de 52 a principios de mayo de 2025 a 252 a principios de mayo de 2026), lo que Google citó como evidencia del aluvión de informes generados por IA .

Los críticos argumentan que esto crea un contraste incómodo: Google reduce los pagos de Chrome debido al «ruido de la IA» mientras simultáneamente deniega a un investigador humano un fallo de infraestructura en la nube CVSS 10.0, cuidadosamente reportado, argumentando que «funciona según lo previsto» — una decisión que muchos en la comunidad de seguridad han calificado de miope y perjudicial para la confianza de los investigadores .