La política de divulgación responsable de 90 días, estándar de la industria de seguridad informática durante más de una década, ha quedado obsoleta debido a la irrupción de los modelos de lenguaje de gran escala (LLM). El propósito original de esta política era dar tiempo a los proveedores para parchear las vulnerabilidades antes de la divulgación pública, asumiendo que los descubridores de errores eran raros, el desarrollo de exploits era lento y los investigadores esperarían a recibir crédito y recompensas.Estas suposiciones ya no son válidas en 2026.
Los LLM han democratizado tanto la búsqueda de vulnerabilidades como la creación de exploits. El autor documenta casos reales: once investigadores reportaron el mismo error crítico en seis semanas usando herramientas de IA similares, convergieron casi simultáneamente desde flujos de trabajo totalmente distintos. Además, un investigador logró crear un exploit funcional en solo 30 minutos después de leer un parche público de React, cuando antes este proceso tomaba días o semanas.
El ejemplo más dramático es el del kernel Linux en las últimas dos semanas. Copy Fail (CVE-2026-31431) fue encontrado con IA en una hora de escaneo automatizado y permitía escalada de privilegios root en cualquier distribución desde 2017. Apenas una semana después, apareció Dirty Frag, otra vulnerabilidad crítica. Ambos fueron weaponizados por actores de amenazas, incluyendo grupos iraníes, en cuestión de días.
La conclusión es clara: no existe ventana de gracia. Cada vulnerabilidad crítica debe tratarse como P0 y parchearse inmediatamente, no en el próximo ciclo de mantenimiento. La política de 90 días ya no protege a los usuarios, sino que da a los atacantes un tiempo exploitation-able para explotar. La industria debe adaptarse a esta nueva realidad donde el tiempo entre descubrimiento y explotación se mide en minutos u horas.