Una nueva generación de modelos de IA está descubriendo fallos de software a un ritmo que supera la capacidad humana de corrección, reduciendo el margen entre el descubrimiento del error y su explotación a solo unas horas y creando un riesgo sistémico para infraestructuras críticas.
Una clase de modelos de inteligencia artificial, liderada por Mythos Preview de Anthropic, está descubriendo vulnerabilidades de seguridad a una escala que amenaza con desbordar las defensas de la industria tecnológica, destacada por el reciente descubrimiento de un error por parte del modelo que permaneció indetectado en el sistema operativo OpenBSD durante 27 años. Esta capacidad marca un cambio estructural en la ciberseguridad, donde el tiempo desde el descubrimiento del exploit hasta su conversión en arma se está comprimiendo de meses a minutos.
"Los LLM ahora han superado la capacidad humana para encontrar errores", dijo Alex Stamos, director de seguridad de Corridor y ex jefe de seguridad de Facebook. El aumento de vulnerabilidades de alta calidad encontradas por IA tras el lanzamiento de modelos avanzados a finales de 2025 está creando lo que algunos llaman un "bug armageddon" (armagedón de errores) que desafía todo el ciclo de vida de parches de software.
Las cifras cuantifican la presión sobre los defensores. La plataforma de recompensas por errores HackerOne informa que las presentaciones han aumentado un 76 por ciento con respecto al año pasado, mientras que el tiempo promedio para corregir una vulnerabilidad se ha disparado de 160 a 230 días. Mientras tanto, Palo Alto Networks, socio en la coalición defensiva de Anthropic, informa que los ataques asistidos por IA más rápidos ahora pasan del acceso inicial a la filtración de datos en solo 25 minutos, un cronograma que los ciclos de parches empresariales heredados, a menudo medidos en días o semanas, no pueden igualar.
Esta creciente asimetría entre la ofensiva y la defensa plantea un riesgo directo para las capas fundamentales de Internet. Gran parte de la infraestructura digital del mundo, desde los sistemas operativos hasta los servicios financieros, se basa en software de código abierto mantenido por equipos pequeños, a menudo voluntarios, que ahora se enfrentan a una avalancha de informes de errores generados por IA. El riesgo es que el software previamente ignorado u oscuro se convierta en un vector de ataque principal.
La experiencia de los desarrolladores que mantienen infraestructuras críticas ilustra el cambio. Daniel Stenberg, desarrollador principal de la herramienta de transferencia de datos cURL de 30 años de antigüedad, vio cómo los informes de errores falsos generados por IA inundaron a su equipo en 2025. Pero a principios de 2026, la calidad cambió. En solo tres meses del año, su equipo corrigió más vulnerabilidades legítimas que en la totalidad de los dos años anteriores, en gran parte debido a informes de mayor calidad de investigadores asistidos por IA.
Esta aceleración está creando un desafío sin precedentes. Sergej Epp, CISO de Sysdig, creó un "Reloj Zero-Day" para visualizar el colapso del cronograma. Hace ocho años, el tiempo promedio entre la divulgación pública de un error y un ataque era de 847 días. En 2025, fue de 23 días. Este año, la mayoría se explotan en un día. La Cloud Security Alliance advierte que las organizaciones de seguridad probablemente se verán "abrumadas por la necesidad de aplicar parches y responder a vulnerabilidades, exploits y ataques autónomos descubiertos por IA".
En respuesta, Anthropic ha formado Project Glasswing, una coalición de unas 50 empresas tecnológicas que incluyen a Microsoft, Google, Amazon Web Services, Cisco y la Fundación Linux. La iniciativa proporciona a estos socios acceso al modelo Mythos Preview aún no lanzado para encontrar y corregir fallos en sus propios sistemas antes de que los actores maliciosos puedan explotarlos. Anthropic ha declarado que no tiene planes de lanzamiento público, citando el alto potencial de mal uso.
"Estos mantenedores ya estaban sobrecargados de trabajo antes de la IA", dijo Jim Zemlin, director ejecutivo de la Fundación Linux, que está experimentando con el modelo para ayudar a asegurar el kernel de Linux. "Esto simplemente hace que sus vidas sean mucho mejores".
La medida no ha estado exenta de controversia, ya que el Pentágono calificó a Anthropic como un "riesgo para la cadena de suministro" por pedir al gobierno que no use su tecnología para armas autónomas, una decisión que Anthropic está disputando. Aun así, la formación de la coalición subraya la naturaleza de doble uso de la tecnología. Si bien los modelos pueden usarse para la defensa, las capacidades proliferarán inevitablemente. Se estima que los modelos de peso abierto más avanzados, que cualquier persona puede modificar para eliminar los guardarraíles de seguridad, están a menos de un año de retraso con respecto a los modelos patentados como Mythos.
El desarrollo ha provocado un escalofrío en la industria del software, y las acciones de algunas empresas de ciberseguridad cayeron tras la noticia. El riesgo principal para los inversores es que el valor de cualquier empresa de software depende en parte de su postura de seguridad. A medida que la IA reduce drásticamente el costo de encontrar exploits, las empresas con código heredado significativo o dependencias de proyectos de código abierto con pocos recursos se enfrentan a una recalificación de su perfil de riesgo.
Este artículo tiene únicamente fines informativos y no constituye asesoramiento de inversión.
