# Las herramientas de seguridad de IA ahora son baratas y públicas, cambiando la forma en que los hackers encuentran debilidades
Los investigadores han demostrado que las potentes herramientas de IA utilizadas para encontrar errores en el software ya no están encerradas en laboratorios secretos: están al alcance de cualquiera que tenga una tarjeta de crédito. Esto significa que la capacidad para descubrir fallos de seguridad críticos en todo, desde apps bancarias hasta redes sociales, se está generalizando, lo que podría cambiar el panorama de la seguridad digital para todos.
Cuando una gran empresa de IA, Anthropic, reveló un sistema potente llamado 'Claude Mythos' para encontrar vulnerabilidades en el software —puntos débiles que los hackers pueden explotar—, lo trataron como un secreto peligroso. Solo lo compartieron con un grupo selecto de grandes empresas tecnológicas y funcionarios gubernamentales, advirtiendo que era demasiado riesgoso para uso público. La idea era que solo unas pocas organizaciones, rigurosamente verificadas, deberían tener una herramienta tan poderosa. Pero un nuevo estudio de Vidoc Security convierte esa advertencia en una realidad pública. Demostraron que se pueden lograr resultados similares usando modelos de IA accesibles en línea para cualquiera, como GPT-5.4 y Claude Opus, por menos de $30 por intento.
Cómo la IA encuentra errores como un detective
Encontrar un error en el software es como buscar un solo ladrillo suelto en un muro masivo y en constante cambio. Tradicionalmente, esto requiere expertos humanos altamente capacitados que examinan manualmente millones de líneas de código. La IA cambia este proceso. Puede escanear todo el 'muro' rápidamente, marcando áreas donde la estructura parece extraña. Los investigadores no solo le hicieron una pregunta simple a la IA; construyeron un proceso de varios pasos. Primero, una IA de planificación dividió un archivo de software grande en trozos más pequeños. Luego, una IA de detección examinó cada trozo, buscando patrones que a menudo llevan a errores. También podía verificar archivos relacionados para ver si un problema en una zona afectaba a otra.
- Lo probaron en software real y de uso generalizado: un sistema de compartición de archivos, un sistema operativo seguro, software de procesamiento de video (como el que reproduce videos de YouTube) y bibliotecas que manejan firmas digitales (como los 'sellos' electrónicos en documentos oficiales).
- En múltiples ejecuciones, los modelos de IA públicos identificaron con éxito los mismos errores específicos que el sistema exclusivo de Anthropic había encontrado.
- Un modelo incluso redescubrió de forma independiente un error conocido en un sistema operativo seguro en tres ocasiones separadas.
La diferencia entre encontrar y explotar
El estudio aclara una diferencia crucial: encontrar una debilidad no es lo mismo que construir un arma. El modelo privado de Anthropic hizo más que solo detectar el error; descubrió cómo un atacante podría combinar diferentes piezas de la falla para tomar el control remoto de un ordenador. Los modelos públicos en esta prueba encontraron el agujero, pero no crearon automáticamente el plan de ataque paso a paso. Esta es la actual 'fosa' o barrera. La parte barata y generalizada es el descubrimiento. La parte cara y difícil sigue siendo convertir ese descubrimiento en una solución confiable o en una amenaza profundamente comprendida.
Lecciones clave
- El descubrimiento se ha democratizado: El paso inicial y crítico de encontrar vulnerabilidades en el software ahora es accesible con herramientas de IA asequibles y públicas.
- La barrera ha cambiado: La ventaja ya no radica solo en tener el mejor modelo de IA, sino en la experiencia para validar los hallazgos y entender su impacto en el mundo real.
- El cronograma se ha acelerado: Aunque Anthropic estimó que capacidades similares se extenderían desde otros laboratorios en 6-18 meses, esta investigación muestra que la capacidad de descubrimiento ya está aquí.
¿Qué significa esto para la gente común?
Esto no significa que los hackers vayan a irrumpir instantáneamente en todos los sistemas. Pero sí significa que las herramientas para encontrar posibles debilidades en el software que impulsa tu banca en línea, cuentas de redes sociales e incluso servicios gubernamentales se están volviendo más baratas y comunes. Para las empresas de software y equipos de seguridad, la presión para encontrar y corregir errores más rápido está aumentando drásticamente. Para todos los demás, resalta la importancia de usar software actualizado y contraseñas fuertes y únicas, ya que la seguridad subyacente del panorama digital está siendo explorada con más intensidad que nunca.
— Editorial Team