Imagina que encuentras una falla que deja millones de computadoras expuestas, la reportas a la empresa responsable, y te responden el mismo día que “no les interesa”. Luego, cuando el escándalo explotó en internet, te piden disculpas, prometen arreglarlo… y te tienen 124 días esperando. El parche final: cambiar HTTP por HTTPS. Una letra. Eso es lo que AMD le hizo al investigador mrbruh.
La vulnerabilidad era todo menos menor. AMD AutoUpdate, el componente que usan Ryzen Master y otros productos para descargar actualizaciones, lo hacía sobre HTTP sin verificar la firma de los archivos descargados.
Cualquier atacante en la misma red podía interceptar la comunicación e inyectar código malicioso que se ejecutaría con privilegios de sistema. Para dimensionar el descuido: la URL que AMD usaba en producción contenía un error de escritura: “Develpment” en lugar de “Development”.
El 5 de febrero de 2026, mrbruh reportó el fallo al programa de bug bounty de AMD. Horas después, AMD cerró el ticket como fuera de alcance. Sin recompensa, sin CVE, sin compromiso de parche. Pero mrbruh publicó su investigación, la publicación llegó a la portada de Hacker News, y el escrutinio público forzó a AMD a cambiar de postura.
De repente AMD sí quería hablar. Le pidieron que retirara el blog, prometieron emitir un CVE y solicitaron un embargo de 124 días, muy por encima del estándar de 90 más 30. Y entonces llegó el silencio total. Durante esos cuatro meses, AMD no mantuvo al investigador actualizado sobre el progreso del parche.
Cuando finalmente lo lanzaron, la solución resultó decepcionante: movieron las descargas a HTTPS, pero sin verificación criptográfica de firmas. Solo implementaron un CRC-32, un mecanismo que cualquier atacante puede falsear. El equivalente digital de cambiar la cerradura de una puerta pero dejar la ventana abierta.
Lo más grave ocurrió en segundo plano. Gamers Nexus documentó que AMD cambió retroactivamente los términos de su programa de bug bounty después del reporte. La divulgación que originalmente cumplía las reglas ahora las violaba porque AMD movió el arco después de que la flecha ya había sido disparada. El investigador, que ha reportado vulnerabilidades a Google, ASUS, TP-Link, MSI y más, ha recibido cero dólares de programas de bug bounty en toda su carrera.
El caso trasciende la vulnerabilidad misma. Es una ventana a cómo las grandes empresas pueden usar sus programas de bug bounty no como canal de seguridad legítimo, sino como escudo legal. Y el mensaje para la comunidad de investigadores es inquietante: si encuentras algo crítico en AMD, piensa dos veces antes de reportarlo. El silencio, el cambio de reglas y la indiferencia podrían ser tu única recompensa.
Fuentes:
- Blog del investigador mrbruh: https://mrbruh.com/amd2/
- Video de Gamers Nexus: https://www.youtube.com/watch?v=4HjWHNLRMB0
- WinBuzzer (cobertura inicial): https://winbuzzer.com/2026/02/07/amd-refuses-fix-critical-autoupdate-rce-vulnerability-xcxwbn/
