Un agente de IA encontró más bugs en Firefox en 2 semanas que todo el programa de bug bounty en 2 meses. El costo: menos que un sueldo mensual.
Mozilla lleva 22 años pagándole a los mejores hackers del mundo para que encuentren vulnerabilidades en Firefox. Desde 2004, cuando lanzaron el primer programa de bug bounty de la industria, han pagado más de 4 millones de dólares a investigadores de seguridad.
En febrero de 2026, Anthropic soltó a Claude Opus sobre el código de Firefox.
En 2 semanas encontró 22 vulnerabilidades de seguridad. 14 clasificadas como alta severidad.
Para ponerlo en perspectiva: esas 14 vulnerabilidades representan casi el 20% de todos los bugs de alta severidad que Firefox parchó en todo 2025.
Los números que duelen
Esto es lo que me voló la cabeza cuando lo discutimos en el último episodio de Es la Hora de Aprender:
El programa de bug bounty de Mozilla:
- 22 años de operación (desde 2004)
- Más de $4.000.000 pagados a investigadores
- Paga hasta $6.000 por cada bug de alta severidad
- Miles de investigadores humanos participando
Claude Opus (2 semanas):
- Escaneó ~6.000 archivos C++ del motor JavaScript
- Encontró el primer bug Use-After-Free en 20 minutos
- 22 vulnerabilidades confirmadas
- 112 reportes enviados al tracker de Mozilla
- Costo de la fase ofensiva (intentar explotar los bugs): ~$4.000 en créditos de API
Lee esos números de nuevo. $4.000.000 en 22 años vs $4.000 en 2 semanas.
Hagamos la cuenta completa
Para que se entienda la magnitud, desglosemos lo que habría costado encontrar y solucionar estos mismos 22 bugs de forma tradicional:
Costo del equipo de auditoría (encontrar los bugs):
- 3-4 security researchers senior a $200/hora
- Tiempo estimado de auditoría: 8-16 semanas (2-4 meses)
- Costo: $150.000 – $350.000
Costo en bug bounties (lo que Mozilla pagaría si los encuentra un externo):
- Mozilla paga entre $3.000 y $20.000 por cada bug crítico o de alta severidad
- 14 bugs de alta severidad × $3K-$20K = $42.000 – $280.000
- Más los 8 de severidad menor
Costo de solucionar los bugs (el trabajo después de encontrarlos):
- Cada bug de alta severidad requiere un desarrollador senior dedicado para el parche
- Entre code review, testing, staging y deploy, cada fix toma días
- 22 bugs en paralelo = equipo de ingeniería a tiempo completo por semanas
- Mozilla tuvo que coordinarse con Anthropic para parchear todo antes del release de Firefox 148.0
El resumen brutal:
- 🤖 Claude Opus: ~$4.000 en créditos de API + 2 semanas
- 🧑 Auditoría tradicional equivalente: $150.000 – $350.000 + 2-4 meses
- 💰 Bug bounties equivalentes: $42.000 – $280.000 adicionales
- 🔧 Costo total tradicional (encontrar + bounties): hasta $630.000
Estamos hablando de una diferencia de 37x a 87x en costo y 4x a 8x en velocidad. Y esto es solo la fase de encontrar los bugs — Claude además generó reportes detallados y test cases mínimos para reproducir cada error, ahorrándole semanas adicionales al equipo de Mozilla.
No estoy diciendo que los investigadores humanos no tienen valor — lo tienen, y mucho. La creatividad humana para encontrar vulnerabilidades lógicas complejas sigue siendo superior. Pero la capacidad de un agente de IA para escanear código a escala, sin cansarse, sin distracciones, 24/7… eso cambia la ecuación económica de cualquier empresa.
Esto no es solo seguridad informática
Cuando Diego, Rodrigo y yo grabamos el episodio, nos dimos cuenta de algo: este caso de Firefox es solo la punta del iceberg. No estamos hablando solo de encontrar bugs.
Estamos hablando de cualquier tarea que requiera:
- Revisar grandes volúmenes de información
- Buscar patrones o anomalías
- Operar de forma continua sin fatiga
- Seguir reglas consistentes
Compliance. Auditoría. Due diligence. QA. Monitoreo. Análisis de contratos.
¿Cuánto le pagas hoy a un equipo humano por hacer eso? ¿Y cuánto te costaría un agente que lo haga en una fracción del tiempo?
La empresa de un trillón de dólares (según Sequoia)
Pat Grady de Sequoia Capital lo explicó en AI Ascent: la IA no está atacando solo el mercado de software. Está atacando el mercado de servicios profesionales simultáneamente — y ese mercado es al menos un orden de magnitud más grande.
La tesis es simple: los productos de IA están evolucionando de herramientas → copilotos → autopilotos. Y cuando pasan de «herramienta de software» a «autopiloto», dejan de competir por presupuestos de tecnología y empiezan a competir por presupuestos de nómina.
Eso es lo que hace diferente a esta revolución de cualquier otra que hayamos visto.
Cuando la nube reemplazó a los data centers, el mercado total era relativamente pequeño. Cuando la IA reemplace servicios profesionales, el mercado total es prácticamente ilimitado.
API Design First: la infraestructura invisible
Hay algo que pocos están discutiendo y que va a separar a las empresas que escalen de las que se queden atrás: si tus sistemas no están diseñados para que un agente los use, los agentes no te van a servir de nada.
Es lo que llamamos «API Design First» — diseñar tu stack pensando en que el próximo usuario no va a ser un humano haciendo clic, sino un agente haciendo llamadas a tu API.
Las empresas que hoy tienen APIs bien diseñadas, documentadas y accesibles van a poder integrar agentes de IA en semanas. Las que tienen todo en interfaces manuales, formularios y procesos que requieren un humano mirando una pantalla… van a necesitar meses o años de reingeniería.
Yo lo vivo a diario con Nyx, mi asistente de IA. Cada herramienta que integro a mi flujo de trabajo necesita una API. Si no la tiene, simplemente no sirve para automatizar. Hostinger para mis sitios web, n8n para automatización de workflows, Listmonk para newsletters — todo conectado por APIs. Mi «empleada» más productiva trabaja 24/7 y no tiene acceso a interfaces gráficas.
La pregunta incómoda
¿Qué pasa con los empleos?
No voy a mentirte con el discurso de «la IA solo va a crear nuevos empleos». Algunos empleos se van a transformar. Otros van a desaparecer. Es la realidad.
Pero mirá el caso de Firefox: Mozilla no va a despedir a sus investigadores de seguridad. Lo que va a hacer es darle a cada investigador un agente que multiplique su capacidad x100. El investigador que antes revisaba 100 archivos al mes ahora va a poder revisar 6.000 en 2 semanas.
El patrón que estoy viendo — y lo digo como alguien que ha invertido en más de 30 startups — es que las empresas ganadoras no van a ser las que reemplacen humanos por IA, sino las que combinen ambos. Humanos para la creatividad, el juicio y las decisiones complejas. Agentes para la escala, la consistencia y la velocidad.
La pregunta no es «¿va a reemplazar la IA mi trabajo?» La pregunta es: «¿Estoy aprendiendo a trabajar CON agentes, o me voy a quedar esperando a que trabajen SIN mí?»
Lo que puedes hacer hoy
No necesitas ser Anthropic ni tener acceso a modelos frontier para empezar:
- Identifica tareas repetitivas en tu negocio que siguen reglas claras
- Diseña APIs antes de interfaces — piensa en tu próximo «usuario» como un agente
- Experimenta con agentes pequeños — automatiza un proceso simple y mide resultados
- Mide el costo real de tus operaciones manuales vs. automatizadas
Si quieres profundizar en estos temas, en el episodio 4 de Es la Hora de Aprender desglosamos cada uno con ejemplos reales, incluyendo cómo Perplexity está construyendo un «computador con IA» y qué significa eso para el futuro del trabajo.
¿Estás usando agentes de IA en tu negocio? ¿Cuál ha sido tu experiencia? Únete a mi comunidad de emprendedores en Cágala, Aprende, Repite — ahí estamos discutiendo estos temas todas las semanas con casos reales.
Este post está basado en la conversación del Episodio 4 de Es la Hora de Aprender con Diego Arias y Rodrigo Rojo. Si prefieres escucharlo, está en YouTube y Spotify.
