El mes pasado, **Anthropic** anunció su nuevo modelo, Claude Mythos Preview, con una advertencia única: sus capacidades de búsqueda de vulnerabilidades eran tan avanzadas que solo estaría disponible para un grupo selecto de empresas para escaneo y remediación interna. Este anuncio, aunque llamativo, resalta una tendencia más amplia: la creciente competencia de la IA en la identificación de vulnerabilidades de software. ### La creciente destreza de la IA en la detección de vulnerabilidades Si bien el modelo de **Anthropic** es muy capaz, otros modelos también demuestran habilidades similares. El Instituto de Seguridad de IA del Reino Unido descubrió que GPT-5.5 de **OpenAI** ofrece capacidades comparables. Además, la empresa Aisle reprodujo los resultados de **Anthropic** utilizando modelos más pequeños y rentables. La versión limitada de Mythos por parte de **Anthropic** también puede estar impulsada por consideraciones prácticas. Ejecutar un modelo tan potente consume muchos recursos, y un lanzamiento general podría no ser factible. Al restringir el acceso, **Anthropic** puede resaltar el potencial del modelo sin demostrarlo completamente. ### La doble naturaleza de la IA en ciberseguridad El problema central es que los sistemas modernos de IA generativa, incluidos los de **Anthropic**, **OpenAI** y alternativas de código abierto, se están volviendo expertos en encontrar y explotar vulnerabilidades. Esto tiene implicaciones significativas tanto para las estrategias de ciberseguridad ofensivas como defensivas. Los atacantes pueden aprovechar estas capacidades de IA para descubrir y explotar automáticamente vulnerabilidades en varios sistemas. Esto podría conducir a brechas en infraestructura crítica, ataques de ransomware, robo de datos y control de sistemas durante conflictos, creando un panorama digital más peligroso. Por el contrario, los defensores pueden utilizar estas mismas herramientas de IA para identificar y parchear vulnerabilidades. Por ejemplo, **Mozilla** utilizó Mythos para descubrir 271 vulnerabilidades en **Firefox**. Estas vulnerabilidades fueron posteriormente corregidas, eliminando posibles vectores de ataque. El futuro podría ver la detección y parcheo de vulnerabilidades impulsadas por IA como una parte estándar del ciclo de vida del desarrollo de software, lo que resultaría en software más seguro. ### Riesgos a corto plazo y potencial a largo plazo Se espera un aumento tanto en los ataques que explotan vulnerabilidades recién descubiertas como en las frecuentes actualizaciones de software. Sin embargo, muchos sistemas permanecen sin parches o no se actualizan regularmente, dejando vulnerabilidades expuestas. Actualmente, explotar vulnerabilidades parece ser más fácil que encontrarlas y corregirlas, lo que sugiere mayores riesgos a corto plazo. Las organizaciones deberán adaptar sus estrategias de seguridad a este panorama de amenazas en evolución. Mirando hacia el futuro, se espera que la capacidad de la IA para escribir software seguro mejore continuamente. En última instancia, los defensores mejorados por IA pueden obtener una ventaja sobre los atacantes mejorados por IA. ### Más allá de la ciberseguridad: IA y vulnerabilidades sistémicas Las implicaciones se extienden más allá de la ciberseguridad. Las capacidades de reconocimiento de patrones y razonamiento que hacen que la IA sea efectiva para analizar software se pueden aplicar a otros sistemas complejos. Por ejemplo, la IA podría identificar lagunas en códigos tributarios, regulaciones ambientales y reglas de seguridad alimentaria. Los bancos de inversión ya pueden estar utilizando IA para analizar códigos tributarios, buscando estrategias para ahorrar dinero. El potencial de la IA para descubrir lagunas complejas, como las que involucran múltiples jurisdicciones, es significativo. Esto podría conducir a una disminución de los ingresos gubernamentales y a la evasión regulatoria. A diferencia de las vulnerabilidades de software que se pueden parchear rápidamente, modificar códigos tributarios o regulaciones es un proceso largo y a menudo políticamente cargado. La laguna del "carried interest" en el código tributario de EE. UU., explotada durante décadas, ejemplifica este desafío. La IA está preparada para transformar la sociedad. Así como la revolución industrial amplificó las capacidades físicas, la revolución de la IA amplificará las habilidades cognitivas. Adaptarse a esta nueva realidad, caracterizada por un diluvio de vulnerabilidades tanto en software como en otros sistemas complejos, será desafiante pero esencial.