Office Address
Seville, Spain
Seville, Spain
Phone Number
+(34) 624 816 969
Email Address
Available on Google Play
Seville, Spain
Seville, Spain
+(34) 624 816 969
by ForgeNEX Table of contents [Show]
La inteligencia artificial sigue demostrando su potencial en el ámbito de la ciberseguridad, y el último ejemplo llega de la mano de Claude Mythos, el modelo de Anthropic que ha puesto patas arriba a Mozilla. En una prueba realizada sobre la versión 148 de Firefox, Mythos identificó nada menos que 271 vulnerabilidades, un número que ha dejado atónito al equipo de desarrollo. Mozilla confirmó que la versión 150, lanzada la semana pasada, ya corrige todos estos fallos, cerrando así una brecha de seguridad que podría haber sido explotada por atacantes.
Este descubrimiento marca un antes y un después en la capacidad de la IA para detectar errores en software complejo. David Shipley, de Beauceron Security, matiza que “nada de lo que Mythos encontró no podría haberlo encontrado un humano experto”, pero añade que “la IA no está encontrando una nueva clase de supererrores exclusivos de la IA. Simplemente está encontrando muchas cosas que se habían pasado por alto”. La clave está en la escala y la velocidad: lo que a un equipo humano le llevaría meses, Mythos lo ha hecho en cuestión de días.
No es la primera vez que Firefox recurre a la IA para fortalecer su seguridad. Anteriormente, con Claude Opus 4.6, también de Anthropic, se descubrieron 22 errores críticos en la misma versión 148. Pero Mythos ha multiplicado por diez esa cifra, lo que ha provocado lo que Bobby Holley, director técnico de Firefox, describe como una sensación de “vértigo”. En sus palabras: “Para un objetivo bien protegido, un solo error de este tipo habría sido una alerta roja en 2025, y tantos a la vez te hacen parar a preguntarte si es siquiera posible mantenerse al día”.
Firefox emplea una estrategia de defensa en profundidad con equipos rojos internos, múltiples capas de defensas superpuestas y técnicas automatizadas como el fuzzing. Sin embargo, Holley reconoce que ninguna capa es impenetrable y que los atacantes combinan errores en el código de renderizado con fallos en los entornos aislados (sandbox) para obtener acceso privilegiado. Aunque el equipo ha optado por lenguajes más seguros como Rust, reescribir décadas de código C++ no es viable. El fuzzing automatizado tiene limitaciones: algunas partes del código son difíciles de someter a pruebas, lo que genera una cobertura desigual. Los humanos pueden encontrar errores mediante razonamiento profundo, pero requieren tiempo y recursos escasos.
Ahí es donde entra Claude Mythos Preview: cierra la brecha entre lo que el fuzzing puede detectar y lo que solo un humano experto podría encontrar. Holley afirma que “hace unos meses, los ordenadores eran completamente incapaces de hacer esto, y ahora destacan en ello”. Mythos es “tan capaz” como los investigadores humanos, sin distinción de categoría o complejidad de vulnerabilidad.
Históricamente, los atacantes han tenido ventaja porque pueden concentrar meses de esfuerzo humano en encontrar un solo error explotable. Holley cree que cerrar esta brecha con IA puede erosionar esa ventaja a largo plazo. El sector ha estado luchando en un “empate”, donde la seguridad ha dominado “la parte ofensiva” debido a la enorme superficie de ataque. Tanto Mozilla como otros proveedores han “reconocido en silencio durante mucho tiempo” que reducir los exploits a cero era “poco realista”.
Ahora, Holley ve una oportunidad para que los defensores ganen “de forma decisiva” con Mythos y modelos posteriores. “Los defectos son finitos, y estamos entrando en un mundo en el que por fin podemos encontrarlos todos”, sentencia.
Ensar Seker, CISO de SOCRadar, subraya que encontrar 271 fallos en un código maduro como el de Firefox demuestra que la detección de vulnerabilidades impulsada por IA opera a una escala y profundidad que supera la revisión tradicional. El “vértigo” de Holley refleja que la superficie de ataque es mayor y más detectable de lo que se suponía.
Para Seker, los equipos de seguridad deben pasar de pruebas periódicas a validación continua. Esto implica integrar el análisis de código asistido por IA en los procesos CI/CD, priorizar “la velocidad de los parches por encima de la perfección” y asumir que cualquier ruta de código accesible desde el exterior será descubierta y explotada. “El objetivo ya no es solo encontrar las vulnerabilidades primero, sino reducir el intervalo entre el descubrimiento y la corrección”, afirma.
Shipley coincide: cualquier empresa que desarrolle software debe evaluar sus recursos para detectar y corregir vulnerabilidades de forma rápida y proactiva. “Pero las cosas sucederán”, reconoce, por lo que las empresas deben practicar regularmente sus protocolos de respuesta a incidentes. “Los próximos años van a ser una maratón, no un sprint”, concluye.
La naturaleza de doble uso de estos sistemas presenta un gran reto. Seker advierte que la misma capacidad que ayuda a los defensores puede volverse en su contra si el modelo o sus resultados quedan expuestos. El acceso no autorizado a Mythos del que se ha informado “refuerza la idea de que los propios sistemas de IA son ahora objetivos de gran valor, por lo que se convierten en parte de la superficie de ataque”.
Shipley no se sorprende: “Tampoco es que Anthropic tenga alguna capacidad de IA única, insuperable o exclusiva para el hacking”. OpenAI ya está pisándole los talones, y otros “alcanzarán y superarán” a Mythos. Para Seker, lograr un equilibrio requiere tratar los modelos de IA como infraestructura privilegiada, con controles de acceso estrictos, supervisión de resultados y aislamiento de flujos de trabajo sensibles. Los desarrolladores deben escribir código resistente al escrutinio automatizado, con validación de entradas rigurosa y valores predeterminados más seguros.
“En este paradigma, la seguridad consiste tanto en defender los sistemas como las herramientas que ahora son capaces de vulnerarlos a gran escala”, concluye Seker.
Este caso refuerza la tendencia que ya exploramos en Vibe-Coding y en La guerra del debugging, donde la IA se convierte en un aliado indispensable para desarrolladores y equipos de seguridad. Además, la automatización de procesos con herramientas como n8n, como vimos en n8n e IA, puede integrar estos análisis en flujos de trabajo continuos.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.