Cuando Anthropic presentó su nuevo modelo Mythos en abril, también lanzó una advertencia seria a todos aquellos que desarrollan software. Según el laboratorio, este modelo era tan potente para identificar vulnerabilidades en el software que había descubierto miles de errores de alta gravedad que debían resolverse antes de que pudiera hacerse público. Recientemente, los investigadores de seguridad del navegador Firefox de Mozilla han proporcionado un vistazo más cercano a cómo ha sido este proceso en la práctica y lo que los poderes de Mythos significan para la seguridad del software en general.
Hallazgos de Mozilla sobre Mythos
En un artículo publicado por Mozilla, se reveló que Mythos ha desenterrado una gran cantidad de errores de alta gravedad, incluidos algunos que habían estado inactivos en el código durante más de una década. Esto marca una mejora significativa en comparación con lo que las herramientas de seguridad basadas en inteligencia artificial (IA) podían hacer hace solo seis meses. Anteriormente, estas herramientas presentaban serias desventajas, inundando a los equipos de seguridad con informes de baja calidad y muchos falsos positivos. Sin embargo, los investigadores de Mozilla afirman que la última generación de herramientas ha marcado un cambio, especialmente ahora que los sistemas autónomos pueden evaluar su propio trabajo y filtrar resultados inadecuados.
Avances en las herramientas de IA
Los investigadores de Mozilla comentan que han mejorado drásticamente sus técnicas para aprovechar estos modelos. Según ellos, «es difícil exagerar cuánto ha cambiado esta dinámica en pocos meses». Gracias a la capacidad mejorada de los modelos y a sus nuevas técnicas de implementación, Firefox ha lanzado un total de 423 correcciones de errores en abril de 2026, en comparación con solo 31 en el mismo mes del año anterior. También han publicado detalles sobre 12 de los errores, que abarcan desde un par de vulnerabilidades inusuales de sandbox hasta un error de 15 años en la forma en que el navegador analiza un elemento HTML.
Vulnerabilidades complejas y su descubrimiento
El hecho de que el sistema ayudó a descubrir vulnerabilidades en el sistema de «sandbox» de Firefox es particularmente impresionante, dado lo intrincado que debe ser un ataque que explote dicha vulnerabilidad. Para identificar estas vulnerabilidades, el modelo necesita crear un parche comprometido para el navegador y luego atacar la parte más segura del software con el nuevo código implementado. Este proceso implica varios pasos delicados que requieren creatividad y atención al detalle.
Importancia del programa de recompensas de errores
Cabe destacar que el programa de recompensas por errores de Mozilla paga a los investigadores hasta 20,000 dólares por encontrar un error en el sandobox de Firefox, la recompensa más alta disponible. Sin embargo, a pesar de esta sustancial recompensa, Grinstead menciona que Mythos está identificando más problemas en los sandbox que los investigadores humanos.
Uso de la IA en correcciones
A pesar del notable avance en las herramientas de codificación de IA, el equipo de Firefox aún no está utilizando IA para corregir los errores. La IA ayuda a codificar parches para cada error, pero el código resultante generalmente no puede ser desplegado directamente. En su lugar, sirve como modelo para que un ingeniero humano lo ajuste y lo implemente. Grinstead afirma que «para los errores de los que estamos hablando en este post, cada uno de ellos es un ingeniero escribiendo un parche y un ingeniero revisándolo».
La dualidad de la tecnología de IA en ciberseguridad
Aún no está claro cómo las capacidades emergentes de la IA modificarán el equilibrio de poder en el ámbito de la ciberseguridad. Un mes después de que se presentó Mythos, la mayoría de los errores descubiertos aún no han sido corregidos, lo que hace difícil capturar la magnitud completa de su impacto. Aunque Anthropic ha seguido normas estrictas de divulgación responsable, existe la preocupación de que actores malintencionados estén utilizando técnicas similares, aunque quizás sus modelos no sean tan efectivos.
Dario Amodei, CEO de Anthropic, expresó en un evento reciente que esperaba que las nuevas herramientas favorecieran a los defensores. Sin embargo, Grinstead ofrece una visión más cautelosa: «es útil tanto para atacantes como para defensores, pero tener la herramienta disponible inclina un poco la ventaja hacia la defensa». Nadie puede predecir cuál será el impacto final de estas tecnologías en la ciberseguridad.
Consejos para emprendedores y negocios
- Invierta en capacitación: Asegúrese de que su equipo esté bien formado en las nuevas herramientas de IA para detectar vulnerabilidades.
- Implementar un programa de recompensas: Considere establecer un programa de recompensas que motive a los investigadores a encontrar y reportar errores en su software.
- Manténgase actualizado: Siga de cerca los avances en inteligencia artificial y su impacto en la seguridad del software.
- Colabore con expertos: Al establecer relaciones con empresas de ciberseguridad, podrá entender mejor las tendencias actuales y anticipar problemas antes de que surjan.
Conclusiones
La presentación y el desarrollo del modelo Mythos por parte de Anthropic han marcado un antes y un después en la detección de vulnerabilidades en software. Los resultados obtenidos por Mozilla demuestran que las herramientas de IA están empezando a superar las limitaciones de las herramientas anteriores. Sin embargo, aunque estas tecnologías ofrecen nuevas oportunidades para la defensiva, también plantean riesgos que no deben ser ignorados. A medida que la IA continúa evolucionando, será crucial que las empresas se adapten y mejoren sus prácticas de seguridad para mitigar todas las amenazas emergentes.