Microsoft ha presentado un sistema de inteligencia artificial llamado MDASH que ha logrado detectar 16 vulnerabilidades desconocidas en Windows, incluyendo cuatro fallos críticos de ejecución remota de código. Este hito, según analistas de seguridad, marca un antes y un después en la forma de buscar y corregir errores de software, al automatizar procesos que antes requerían meses de trabajo manual.

El sistema, cuyo nombre en clave es MDASH, fue desarrollado por el equipo de Seguridad de Código Autónomo de Microsoft en colaboración con el grupo de Investigación y Protección contra Ataques de Windows. La plataforma entrará en fase de vista previa privada para clientes empresariales el próximo mes, según anunció la compañía en un artículo publicado en su web. Las vulnerabilidades detectadas ya fueron corregidas como parte de la actualización “Patch Tuesday” de Microsoft del 12 de mayo.

“Los defensores cibernéticos se enfrentan a una batalla cada vez más asimétrica. Los atacantes están utilizando la IA para aumentar la velocidad, la escala y la sofisticación de los ataques”, explicó Microsoft en su comunicado. Esta declaración subraya la urgencia de adoptar herramientas como MDASH, que permiten a los equipos de seguridad adelantarse a las amenazas.

Componentes críticos de Windows afectados

Según Microsoft, las cuatro vulnerabilidades críticas afectaban a componentes fundamentales de Windows ampliamente desplegados en entornos empresariales. Entre ellas se encontraba la CVE-2026-33827, una vulnerabilidad remota de uso después de liberación (use-after-free) sin autenticación en la pila IPv4 de Windows, accesible mediante paquetes especialmente diseñados que utilizaban la opción Strict Source and Record Route. Otra vulnerabilidad, la CVE-2026-33824, consistía en un problema de doble liberación (double free) previo a la autenticación en el servicio IKEEXT que afectaba a implementaciones de RRAS VPN, DirectAccess y Always-On VPN. Las otras dos vulnerabilidades críticas afectaban a Netlogon y al cliente DNS de Windows, ambas con puntuaciones CVSS de 9,8.

Las otras 12, clasificadas como “importantes”, incluían fallos de denegación de servicio, escalada de privilegios, divulgación de información y evasión de funciones de seguridad que afectaban a componentes como tcpip.sys, http.sys, ikeext.dll y telnet.exe. La detección temprana de estos fallos es crucial para evitar que sean explotados en ataques reales, como los que se describen en nuestro artículo sobre hacking ético y pruebas de penetración.

Cómo coordina MDASH los agentes de IA

Microsoft defiende que MDASH coordina más de 100 agentes de IA especializados que operan sobre múltiples modelos avanzados y destilados, asignando cada agente a una etapa distinta del proceso de detección de vulnerabilidades. Algunos agentes analizan el código fuente en busca de posibles fallos; otros validan si los hallazgos son reales; y una fase adicional intenta construir entradas desencadenantes capaces de reproducir el problema antes de que el hallazgo llegue a un ingeniero humano para su revisión.

“El modelo es una entrada. El sistema es el producto”, explicó Taesoo Kim, autor del artículo de Microsoft. La arquitectura fue diseñada de manera deliberada para ser en gran medida independiente del modelo, lo que permite sustituir los modelos de IA subyacentes sin necesidad de reconstruir todo el sistema de coordinación. Este detalle resulta relevante porque MDASH llega apenas unas semanas después de que Microsoft anunciara Project Glasswing, una colaboración con Anthropic y otras compañías para evaluar el descubrimiento de vulnerabilidades impulsado por IA utilizando el modelo Claude Mythos Preview de Anthropic.

En opinión del analista Sanchit Vir Gogia, “Microsoft opera ahora como propietario de plataforma, proveedor de seguridad, actor de infraestructura de IA, socio de OpenAI, integrador de Mythos y proveedor de seguridad agente. Es una posición formidable. También supone una concentración de influencia que los responsables de seguridad deben analizar con claridad”. Esta estrategia recuerda a la paradoja que vive Cisco, como analizamos en Cisco recorta empleos pero apuesta fuerte por IA y silicio.

La carrera de vulnerabilidades IA contra IA

El anuncio también pone de relieve la creciente preocupación de que la detección de vulnerabilidades impulsada por IA pueda acelerar tanto las operaciones ofensivas como la investigación defensiva. Con anterioridad, Anthropic había afirmado que su modelo Mythos Preview identificó miles de vulnerabilidades de alta gravedad, entre ellas un fallo de OpenBSD con décadas de antigüedad y un problema en FFmpeg que permaneció oculto durante años y que las herramientas tradicionales de fuzzing no lograron detectar pese a millones de intentos.

El experto en ciberseguridad Sunil Varkey ha reconocido que “hemos entrado en una carrera de descubrimiento de vulnerabilidades entre IA e IA. Los ganadores ya no serán las organizaciones con los mejores escáneres estáticos. Serán aquellas capaces de ejecutar estos sistemas agente con mayor rapidez sobre su propio código y corregir los problemas a velocidad de máquina”. Varkey ha señalado que las empresas deberían intentar obtener acceso anticipado a sistemas como MDASH siempre que sea posible, en lugar de esperar a su disponibilidad generalizada en el mercado. “El acceso anticipado ya no es simplemente deseable, sino que se está convirtiendo en una necesidad defensiva en la era de la IA”, afirmó.

Para los CISO, la implicación más amplia podría ser que la gestión de vulnerabilidades está evolucionando desde escaneos periódicos hacia procesos continuos de detección y corrección asistidos por IA. Por eso, para Gogia, “el futuro pertenece a los equipos de seguridad capaces de detectar, validar, contener y corregir en una única acción coordinada”. Este enfoque se alinea con la tendencia hacia plataformas unificadas de seguridad, como la que ofrece 8Layers, que analizamos en 8Layers lanza una plataforma unificada de seguridad de identidades.

Las pruebas de rendimiento muestran avances, aunque los analistas recomiendan cautela

Para respaldar sus afirmaciones, Microsoft ha publicado resultados de pruebas de rendimiento que muestran que MDASH identificó las 21 vulnerabilidades introducidas deliberadamente en un controlador interno de prueba de Windows sin generar falsos positivos. La compañía también ha indicado que el sistema recuperó con éxito casi todos los casos históricos del Centro de Respuesta de Seguridad de Microsoft (MSRC) probados con instantáneas de componentes antiguos de Windows. Según Microsoft, MDASH alcanzó una puntuación del 88,45 % en la prueba pública CyberGym para tareas de reproducción de vulnerabilidades, lo que la sitúa en lo más alto de la clasificación pública en el momento de la publicación.

Gogia ha señalado que los resultados demuestran que esta categoría tecnológica está madurando, aunque también ha advertido contra la tentación de interpretar las puntuaciones de rendimiento como una prueba directa de valor empresarial. “CyberGym es una señal, no una decisión de compra. Toda la maquinaria que rodea al modelo empieza a parecerse a un flujo de trabajo serio de investigación en seguridad”, ha reconocido el analista. Y ha añadido que muchas organizaciones aún carecen de la madurez de gobernanza necesaria para implementar eficazmente el descubrimiento de vulnerabilidades generado por máquinas. Para concluir, Gogia ha explicado que “el descubrimiento sin disciplina de corrección es puro teatro. Produce paneles de control, no resiliencia”.

En definitiva, MDASH representa un paso adelante en la automatización de la ciberseguridad, pero su éxito dependerá de cómo las empresas integren estos hallazgos en sus procesos de parcheo y gestión de riesgos. La colaboración entre IA y equipos humanos será clave, como también lo es en el ámbito de la codificación en la nube con agentes remotos. Y mientras Orange Cyberdefense aterriza en España con su propio SOC, como vimos en este artículo, la carrera por la seguridad impulsada por IA no hace más que empezar.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.