Mucho se ha hablado sobre el enorme potencial de la inteligencia artificial (IA) para ayudar a los profesionales de ciberseguridad a detectar vulnerabilidades y fallas de manera más eficiente, corregirlas y reducir casi por completo el margen de acción de los criminales informáticos. De algún modo, para la industria sería un sueño hecho realidad.
Y en la práctica podría parecer así. Recientemente, Anthropic, empresa estadounidense fundada por exintegrantes de OpenAI, presentó Claude Mythos, un modelo de IA que se percibió como una señal de que el sueño comenzaba a materializarse, sin pensar remotamente que podría eventualmente convertirse en una pesadilla.
Si bien las capacidades autónomas de ciberseguridad de Claude Mythos llamaron la atención de la industria y las organizaciones, pronto comenzó a encender algunas alarmas. No sólo podía fortalecer los sistemas informáticos, también era capaz de ejecutar análisis ofensivos de alta complejidad.
En otras palabras, Mythos no es simplemente un modelo de IA más. Representa una señal clara de cómo la inteligencia artificial puede comenzar a modificar radicalmente el equilibrio entre defensa y ataque dentro del mundo de la ciberseguridad.
Este ying y yang que viene con Mythos comienza a convertirse en un reto incómodo para la industria, especialmente en un contexto donde muchas organizaciones ya han perdido visibilidad sobre el uso real de IA y donde la falta de control podría derivar en consecuencias irreversibles.
Después de lanzar su versión preliminar, Mythos Preview, Anthropic decidió no liberar el modelo al público general debido a los riesgos potenciales que representa para la seguridad nacional, las infraestructuras críticas y el sistema financiero global. Y fue precisamente esa restricción fue lo que más llamó la atención del sector.
Mythos Preview atrajo también el foco debido a sus capacidades avanzadas de razonamiento orientadas a la ciberseguridad, particularmente en lo que se refiere al redescubrimiento de vulnerabilidades complejas y el análisis de software crítico.
El detonante
En cuanto Anthropic comenzó a distribuir Mythos bajo un esquema limitado de “family & friends” entre grandes compañías tecnológicas, empezó a detectar enormes volúmenes de vulnerabilidades de día cero en tecnologías que llevaban años en el mercado y que se consideraban relativamente seguras. Los fabricantes quedaron rebasados por la cantidad de hallazgos. El volumen de vulnerabilidades descubiertas superaba ampliamente sus capacidades de mitigación.
Mythos fue capaz de encontrar de forma autónoma miles de fallas críticas que durante décadas habían sobrevivido al análisis humano y a las pruebas automatizadas tradicionales.
Un descubrimiento de esta magnitud desafió una de las ideas que se había sostenido por décadas: que el expertise ofensivo avanzado era extremadamente difícil de automatizar. Mythos puso esa creencia en duda al demostrar que la IA ya puede realizar análisis mucho más profundos y contextuales.
Y ahí apareció el verdadero problema. La cuestión ya no era únicamente encontrar vulnerabilidades, sino entender que la industria estaba observando el problema desde la perspectiva equivocada. Mythos no necesariamente descubre vulnerabilidades imposibles de detectar para otras herramientas; lo relevante es que los modelos de IA están comenzando a aproximarse al razonamiento contextual que antes distinguía a un investigador experto.
Ese razonamiento implica comprender lógica de negocio, analizar relaciones entre componentes, interpretar código ambiguo, correlacionar comportamientos y construir hipótesis de explotación. Cuando un modelo comienza a automatizar este proceso, se abre paso a un terreno complejo: aún no existe claridad sobre cómo regular o contener estas capacidades sin frenar la innovación estratégica.
La pregunta inevitable es: ¿qué pesa más, la innovación o el daño potencial que puede generar?
La nueva asimetría ofensiva
Hace algunos años, la capacidad ofensiva de un atacante dependía directamente del número de especialistas con los que contaba. Más investigadores equivalía a una mayor capacidad de ataque.
Hoy, un modelo de IA avanzado puede analizar grandes volúmenes de código, generar hipótesis de explotación y acelerar investigaciones ofensivas a velocidades imposibles para equipos humanos tradicionales.
Eso no significa que la inteligencia artificial vaya a reemplazar a los investigadores senior. Las capacidades analíticas, estratégicas y contextuales de estos perfiles siguen siendo fundamentales. Pero sí implica que la asimetría ofensiva podría crecer mucho más rápido que la madurez defensiva de las organizaciones, especialmente en América Latina.
Y lo anterior deja entrever otra problemática: muchas organizaciones de la región siguen operando con modelos de seguridad diseñados para amenazas de hace cinco años.
En la práctica, gran parte de las empresas no integra aún la seguridad de aplicaciones, la inteligencia artificial y la inteligencia de amenazas bajo una misma estrategia. De hecho, apenas recientemente comenzaron a definirse modelos específicos de protección para IA.
Sin embargo, en un entorno donde los cibercriminales ya aprovechan modelos avanzados de inteligencia artificial, acelerar la capacidad de respuesta operativa deja de ser una ventaja y se convierte en una necesidad crítica.
Frente a este escenario, Mythos deja otra lección importante: proteger la inteligencia artificial es vital, pero no es suficiente. Hoy también es necesario protegerse de la inteligencia ofensiva.
Nuevas prioridades defensivas
¿Qué significa esto para las organizaciones modernas? Significa adoptar nuevas prioridades: verificación continua de aplicaciones, automatización de ejercicios de Red Teaming, monitoreo permanente de agentes de IA, simulaciones ofensivas basadas en IA, IA Assisted Threat Hunting y mecanismos automatizados de protección frente a explotación de vulnerabilidades.
El enfoque no debe centrarse únicamente en la vulnerabilidad técnica, sino también en la velocidad cognitiva y ofensiva con la que evolucionan estas capacidades.
Los límites de la democratización
La industria tecnológica continúa promoviendo los modelos de IA principalmente como herramientas defensivas, y probablemente exista una intención legítima detrás de ello. Pero históricamente, toda tecnología ofensiva útil termina democratizándose. Consciente de este riesgo, Anthropic optó por otorgar acceso extremadamente restringido a Mythos mediante una API dedicada.
Así, organizaciones especializadas en infraestructura y ciberseguridad, como Amazon Web Services, Google, Microsoft, Apple, CrowdStrike y Linux Foundation, junto con investigadores y desarrolladores de código abierto, pueden evaluar defensivamente sistemas operativos, navegadores, servicios de nube y herramientas criptográficas.
¿Esto significa que Anthropic actúa de forma irresponsable? ¿O que la industria enfrenta un dilema estructural inevitable? Todavía no existe una respuesta clara.
Surge también otra disyuntiva: ¿cómo impulsar la innovación sin acelerar al mismo tiempo las capacidades ofensivas globales? El debate continúa y es cuestión de tiempo obtener la respuesta que esperamos.
Porque si un modelo como Mythos termina filtrándose al mercado negro —o eventualmente al ecosistema open source—, es probable que entren en juego actores estatales mucho más agresivos. Pensar que este tipo de tecnologías jamás será utilizado de manera ofensiva sería demasiado optimista.
¿Estamos listos para enfrentar al nuevo adversario?
La relevancia de Mythos no está únicamente en ser un modelo avanzado de IA, sino en representar un cambio radical de paradigma: la automatización del razonamiento ofensivo. Eso obliga a replantear por completo las estrategias defensivas y pone bajo presión a los equipos de Red Teaming en todo el mundo.
El cumplimiento regulatorio o la cantidad de herramientas desplegadas ya no serán suficientes para medir la madurez de ciberseguridad. Incluso organizaciones altamente reguladas podrían quedar expuestas frente a ofensivas automatizadas impulsadas por capacidades algorítmicas.
La industria lleva años preparándose para enfrentar ataques automatizados. Pero justo cuando parecía que ese momento había llegado, comenzamos a descubrir que todavía no estamos preparados para enfrentar adversarios potenciados por inteligencia artificial.
Add a Comment