La inteligencia artificial sigue demostrando su potencial en el ámbito de la ciberseguridad, y el último hito lo ha protagonizado Claude Mythos, el modelo de Anthropic, al detectar nada menos que 271 vulnerabilidades en Firefox 148. Este hallazgo, que ha sido corregido en la versión 150 del navegador, marca un antes y un después en la capacidad de la IA para identificar errores de seguridad que hasta ahora pasaban desapercibidos.

¿Qué hace diferente a Claude Mythos?

David Shipley, de Beauceron Security, señala que “nada de lo que Mythos encontró no podría haberlo encontrado un humano experto”. Sin embargo, la clave está en la escala: la IA es capaz de examinar grandes volúmenes de código de forma sistemática, algo que los equipos humanos, limitados por recursos y tiempo, no pueden hacer con la misma rapidez. Esto no significa que Mythos haya descubierto una nueva clase de vulnerabilidades, sino que ha sido capaz de encontrar muchas que habían sido pasadas por alto.

Este avance se produce en un contexto donde la seguridad ofensiva ha dominado tradicionalmente, debido a la enorme superficie de ataque que presentan aplicaciones complejas como los navegadores. Como explica Bobby Holley, director técnico de Firefox, “los atacantes pueden permitirse concentrar meses de esfuerzo humano para encontrar un solo error explotable”. Ahora, con herramientas como Mythos, los defensores tienen la oportunidad de cerrar esa brecha.

Cerrando la brecha del fuzzing

Firefox ya había utilizado herramientas de IA anteriormente, como Claude Opus 4.6, que descubrió 22 errores críticos en Firefox 148. Sin embargo, Mythos ha multiplicado esa cifra por más de diez. Holley describe la sensación de “vértigo” al ver 271 vulnerabilidades, especialmente porque “para un objetivo bien protegido, un solo error de este tipo habría sido una alerta roja en 2025”.

El equipo de Firefox utiliza una estrategia de defensa en profundidad con equipos rojos internos, múltiples capas de defensas y técnicas automatizadas como el fuzzing. Sin embargo, Holley reconoce que el fuzzing tiene limitaciones: algunas partes del código son más difíciles de someter a pruebas, lo que genera una cobertura desigual. Los equipos humanos pueden encontrar errores que la IA no detecta mediante el razonamiento sobre el código fuente, pero esto requiere mucho tiempo. Mythos cierra esta brecha, detectando errores que el fuzzing no logra identificar.

¿Pueden los defensores ganar de forma decisiva?

Holley cree que sí. “Hace unos meses, los ordenadores eran completamente incapaces de hacer esto, y ahora destacan en ello”. Mythos es “tan capaz” como los investigadores humanos, y no hay ninguna categoría de vulnerabilidad que los humanos puedan encontrar y que Mythos no pueda. Esto cambia las reglas del juego, ya que los defensores pueden ahora identificar y corregir fallos a una velocidad sin precedentes.

Para las empresas, esto implica un cambio de paradigma. Ensar Seker, CISO de SOCRadar, señala que “el vértigo de Holley se debía a que los defensores se están dando cuenta de que la superficie de ataque es mayor y más fácil de detectar de lo que se suponía”. Los equipos de seguridad deben pasar de las pruebas periódicas a la validación continua, integrando el análisis de código asistido por IA en los procesos de CI/CD. La prioridad debe ser “la velocidad de los parches por encima de la perfección”.

El desafío del doble uso y la seguridad de los propios sistemas de IA

La misma capacidad que ayuda a los defensores puede ser utilizada por los atacantes. El acceso no autorizado a Mythos, del que se ha informado recientemente, subraya que los propios sistemas de IA se convierten en objetivos de alto valor. Seker advierte que “los modelos de IA deben tratarse como infraestructura privilegiada”, con controles de acceso estrictos y supervisión de los resultados.

Shipley añade que “los próximos años van a ser una maratón, no un sprint”. Las empresas deben poner en práctica regularmente sus protocolos de respuesta a incidentes y realizar trabajo proactivo. La naturaleza de doble uso de la IA presenta un reto, pero también una oportunidad para aquellos que sepan adaptarse.

Implicaciones para profesionales IT y empresas

Este caso demuestra que la IA no solo es una herramienta para automatizar tareas, sino que puede revolucionar la ciberseguridad. Para los profesionales IT, es crucial mantenerse actualizados sobre estas capacidades. En Soluciones avanzadas en Microsoft Azure, exploramos cómo la inteligencia y la seguridad se integran en la nube. Además, en nuestro caso de éxito sobre VPNs y firewalls, mostramos cómo las defensas tradicionales pueden complementarse con IA.

La detección de 271 vulnerabilidades en Firefox es solo el principio. Como señala Holley, “los defectos son finitos, y estamos entrando en un mundo en el que por fin podemos encontrarlos todos”. Para las empresas, esto significa que la seguridad debe ser un proceso continuo, no un evento puntual. En nuestro artículo sobre automatización con n8n e IA, mostramos cómo integrar estas herramientas en los flujos de trabajo.

En definitiva, Claude Mythos ha demostrado que la IA puede cerrar la brecha entre lo que los humanos y las herramientas automatizadas pueden detectar. Los defensores tienen ahora una oportunidad única para ganar la partida, pero deben actuar con rapidez y estrategia.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.