La IA ya encuentra vulnerabilidades más rápido de lo que las empresas pueden parchearlas

La IA ya encuentra vulnerabilidades más rápido de lo que las empresas pueden parchearlas

La ciberseguridad acaba de entrar en una fase incómoda: descubrir fallos ya no es necesariamente la parte lenta del proceso. Modelos avanzados de IA están empezando a revisar código, encadenar errores y señalar vulnerabilidades a una velocidad que tensiona a equipos de seguridad, desarrolladores y mantenedores de software abierto. El problema no es solo que la IA ayude a defender mejor. También anticipa lo que ocurrirá cuando capacidades parecidas estén al alcance de atacantes con menos escrúpulos.

Mythos convierte la búsqueda de fallos en un problema de escala

El detonante reciente es Project Glasswing, la iniciativa de Anthropic para usar Claude Mythos Preview en la detección de vulnerabilidades. Según la actualización inicial publicada por Anthropic, el modelo ha analizado más de mil proyectos open source y ha señalado 23.019 posibles vulnerabilidades, de las que 6.202 fueron estimadas inicialmente como de severidad alta o crítica.

El dato relevante no es solo el volumen. De 1.752 hallazgos revisados por firmas externas de seguridad o por la propia compañía, el 90,6% resultó ser un verdadero positivo, y el 62,4% se confirmó finalmente como vulnerabilidad alta o crítica. Anthropic calcula que, si esas tasas se mantienen, Mythos podría haber sacado a la luz cerca de 3.900 vulnerabilidades altas o críticas solo en software abierto.

Muchas empresas siguen pensando en auditorías puntuales, pentests periódicos y escáneres con informes manejables. La IA introduce otra lógica: hallazgos continuos, más profundos y menos dependientes del calendario humano.

El cuello de botella pasa al parcheo

La frase que mejor resume este momento es sencilla: encontrar vulnerabilidades empieza a ser más fácil que arreglarlas. Anthropic reconoce que el cuello de botella está en la verificación, la comunicación responsable con los mantenedores y el diseño de parches seguros. No basta con que un modelo diga “aquí hay un fallo”. Hay que reproducirlo, confirmar su impacto, descartar falsos positivos, escribir un informe útil, coordinar la divulgación y desplegar una corrección sin romper producción.

Ese proceso consume tiempo. La compañía afirma que una vulnerabilidad alta o crítica detectada por Mythos tarda de media unas dos semanas en parchearse. Además, varios mantenedores de open source han pedido que se reduzca el ritmo de comunicaciones porque no tienen capacidad suficiente para procesar tantos informes.

La IA acelera la fase de descubrimiento, pero el mantenimiento del software sigue siendo humano, fragmentado y, en muchos casos, voluntario. Multiplicar hallazgos no sirve si el embudo de validación y parcheo permanece igual.

La deuda técnica queda expuesta de golpe

Este escenario afecta especialmente a organizaciones con muchas dependencias, microservicios, contenedores, librerías heredadas y software interno poco documentado. No hace falta imaginar un ataque sofisticadísimo. Basta con que una vulnerabilidad antigua, presente en una biblioteca olvidada, pase de ser invisible a estar perfectamente localizada.

Por eso el debate conecta directamente con la cadena de suministro software. IBM y Red Hat han reaccionado con Project Lightwell, una iniciativa de 5.000 millones de dólares y más de 20.000 ingenieros orientada a validar, priorizar y corregir vulnerabilidades en open source usado por empresas. No es casualidad: si la IA multiplica los hallazgos, alguien tendrá que industrializar la respuesta.

Los atacantes también podrán usar estas capacidades

El enfoque defensivo de Project Glasswing es razonable, pero sería ingenuo quedarse ahí. Cloudflare, que ha probado Mythos en más de cincuenta repositorios propios, lo explicaba en su análisis Project Glasswing: what Mythos showed us: estos modelos ayudan a encontrar fallos para corregirlos, pero también enseñan qué podrán hacer los atacantes con herramientas similares.

La diferencia frente a generaciones anteriores no está solo en detectar un bug aislado. Lo preocupante es la capacidad de encadenar errores aparentemente menores hasta construir una vía de explotación más seria. Un fallo de bajo impacto puede parecer asumible hasta que se combina con otro y acaba dando una ruta hacia información sensible, escalada de privilegios o ejecución remota.

La gestión de vulnerabilidades necesita menos ruido y más ingeniería

La respuesta no puede ser comprar otro escáner y esperar que el SOC absorba más ruido. Hace falta tratar la gestión de vulnerabilidades como un proceso de ingeniería, no como una lista infinita de CVE pendientes. Inventario real de activos, SBOM, priorización por exposición, criticidad del servicio y ventanas de mantenimiento deben estar conectados.

También conviene revisar la relación con el open source. Muchas empresas consumen librerías como infraestructura gratuita e invisible, pero dependen de comunidades pequeñas que no pueden asumir un aluvión de informes generados por IA. Iniciativas como OpenSSF Alpha-Omega apuntan en la dirección correcta: financiar mejoras sostenibles en proyectos críticos.

En Europa, el contexto regulatorio empuja en la misma línea. El Cyber Resilience Act ya obliga a pensar en seguridad durante todo el ciclo de vida del producto digital. La IA acelera la urgencia: si los fallos se descubren antes, también aumentará la presión para corregirlos antes.

Conclusión

La IA aplicada a vulnerabilidades no elimina el trabajo de los equipos de seguridad; lo desplaza hacia la verificación, la priorización y el parcheo rápido. La ventaja será para quien tenga inventario, procesos y capacidad de ingeniería, no para quien acumule más alertas. Ya lo apunté al hablar de Anthropic Mythos y la IA aplicada a ciberataques: el ritmo de la defensa está cambiando. ¿Crees que esta vez la IA dará ventaja real a los defensores o abrirá más brecha para los atacantes?