Al salir de las principales conferencias de seguridad de este año, la ansiedad en torno a la IA era palpable. Sin embargo, si se escucha con atención, gran parte de la industria todavía está estancada viendo la IA como un sofisticado generador de phishing o un útil asistente de codificación.
Después de pasar mi experiencia en investigación de vulnerabilidades y desarrollo de exploits explotando manualmente la corrupción y la escritura de la memoria, observando modelos como Claude Mithos de Anthropic y ahora gpt-5.4-cyber de OpenAI, el resultado es bastante diferente.
Vicepresidente de Práctica de Ciberseguridad en Presidio.
Mithos no es sólo un asistente. Está industrializando el descubrimiento de vulnerabilidades y el desarrollo de exploits a una escala que nunca antes habíamos visto. Para comprender por qué se trata de un cambio fundamentalmente aterrador en el panorama de amenazas, es necesario comprender cómo se creaban los exploits y cómo la IA está reescribiendo por completo esas reglas.
El arte de la explotación: una negociación de rehenes con la CPU
Históricamente, encontrar una vulnerabilidad, un fallo o un error lógico representaba sólo el 10% de la batalla. Convertir ese fallo en una ejecución de código confiable es un proceso laborioso e intensamente manual. Los sistemas modernos son entornos hostiles, repletos de mitigaciones como ASLR (aleatorización del diseño del espacio de direcciones) y DEP (prevención de ejecución de datos).
Para evitarlos, los desarrolladores de exploits se basan en técnicas increíblemente complejas y frágiles:
- Encadenamiento ROP (Programación Orientada al Retorno): Cuando no puedes inyectar tu propio código, tienes que secuestrar el flujo de ejecución y unir pequeñas piezas existentes de memoria ejecutable (llamadas “gadgets”) para cumplir tus órdenes. Se requiere una comprensión profunda de la arquitectura de destino y mucho ensayo y error para afianzarse.
- JIT Heap Sprays: usar un navegador moderno significa usar su compilador justo a tiempo. Tienes que perfeccionar el diseño de la memoria, engañar al motor para que asigne tu carga útil exactamente donde la deseas y esperar desesperadamente que el recolector de basura no active y bloquee todo el proceso antes de que se active tu exploit.
Este trabajo requiere intuición, un profundo conocimiento arquitectónico y una enorme carga cognitiva. La gente se cansa. Perdemos la pista del aparato estatal. Echamos de menos el caso límite. Construir una cadena de explotación confiable siempre ha sido un proceso arduo, reservado para investigadores altamente especializados o equipos de estados-nación bien financiados.
El paradigma de los mitos: arte abstracto en la informática
Durante años, hemos intentado automatizar esto con fuzzers lanzando millones de entradas distorsionadas a un binario con la esperanza de que falle. Pero los fuzzers son ciegos; No logran sortear errores lógicos sutiles de varios pasos.
Los mitos triunfan donde los fuzzers fracasan porque no son predecibles; Esto es lógica.
Cuando Mythos aborda un problema complejo como un spray JIT, captura todo el flujo de ejecución en su ventana contextual. No depende de un “instinto”. Lee el código, genera una hipótesis, escribe el exploit, lo ejecuta en un entorno aislado, analiza el volcado de memoria y lo repite.
Implacablemente, a la velocidad de la computadora, ajusta mediante programación los diseños de la memoria hasta que alcanza el punto óptimo determinista correcto.
Aún más preocupante es su capacidad para encadenar vulnerabilidades. Para un ser humano, encadenar una pérdida de memoria a un desbordamiento del búfer para una escalada de privilegios es excepcionalmente difícil porque el estado del entorno cambia después de cada paso.
Mythos maneja esta explosión del espacio de estados de forma nativa, recalculando el entorno sin problemas y siguiendo adelante. Esto convierte un frágil rompecabezas humano en un problema de cálculo paralelo.
Divulgación de la deuda de software civilizado
Durante la última década, el mantra básico de la ciberseguridad ha sido “volver a lo básico”. Nos dijeron que si simplemente practicábamos una buena higiene de seguridad, parcheábamos CVE altos y medios y reducíamos nuestro número de vulnerabilidades conocidas a cero, podríamos contener el radio de explosión.
Pero este manual de higiene supone que la lista de vulnerabilidades es limitada y conocida. Glasswing elimina esa suposición.
Las vulnerabilidades de día cero que identifica Mythos no son triviales; Incluyen fallas críticas y difíciles de detectar en todos los principales sistemas operativos y navegadores web. Este no es un problema de acumulación de vulnerabilidades. Es un problema de deuda de software civilizado que se desarrolla de la noche a la mañana.
Pedirles a los CISO que simplemente hagan un “parche rápido” en este momento es básicamente pedirles que vacíen un sótano inundado con un balde, justo después de que el diámetro de la tubería reventada haya aumentado en órdenes de magnitud.
Escenario de pesadilla: democratización de día cero
El entorno del miedo existencial está justificado en toda la comunidad de investigación de la vulnerabilidad. ¿Qué pasa si un modelo con esta capacidad es de código abierto o se filtra?
Las barreras de entrada caerán en el suelo durante un ataque devastador en varias etapas. Un atacante no tiene que pasar meses realizando ingeniería inversa en una plataforma SaaS patentada o en un sistema empresarial heredado; Simplemente le apuntarán con el modelo.
Entraremos en la era de la “fábrica de día cero”, donde constantemente se desarrollan nuevos métodos de ataque. La ventana de tiempo para explotar (el tiempo entre que los defensores descubren una vulnerabilidad y la convierten en un arma) colapsará a casi cero.
Esta realidad asimétrica es exactamente la razón por la que el proyecto Anthropic encerró el mito detrás de Glasswing. Al limitarlo a los socios de lanzamiento defensivos, parece que el objetivo es darles una ventaja a los buenos.
Para aquellos de nosotros que tenemos la tarea de diseñar arquitectura, comunicar riesgos a los clientes o proteger la infraestructura de TI, el modelo de amenazas ha cambiado permanentemente.
Con Claude Mythos de Anthropic y ahora GPT-5.4-Cyber de OpenAI, estamos oficialmente en un punto de inflexión en la sofisticación de modelos donde estas innovaciones causarán problemas reales a la industria de la ciberseguridad.
Ya no podemos confiar en la idea de que las cadenas de exploits complejas son demasiado caras o difíciles para el actor de amenazas promedio o incluso para el guionista.
La era de la explotación artesanal está llegando a su fin y la era de la industrialización ya ha comenzado.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
