IA al rescate: Descubren vulnerabilidades de software que ni los programadores habían visto
Investigadores de la Universidad de California en Berkeley le dieron una vuelta de tuerca a la ciberseguridad: pusieron a la inteligencia artificial a buscar errores en el código. Y los resultados, muchachos, son para levantar las cejas y aplaudir (o para preocuparse un poquito, dependiendo de qué lado de la grieta digital estemos).
Resulta que estos modelos de IA no solo saben programar, sino que también están desarrollando un ojo clínico para detectar las fallas que se nos escapan a los humanos. Usando un «CyberGym», un nuevo punto de referencia para pruebas, los modelos encontraron 17 nuevos bugs en bases de código abierto, ¡y 15 de ellos eran completamente desconocidos! Como diría mi abuela, «más vale pájaro en mano que cien volando», y en este caso, mejor tener a la IA de nuestro lado antes de que los hackers se aviven.
¿El futuro de la ciberseguridad?
La cosa pinta interesante. Expertos ven a la IA como un arma clave en la ciberseguridad. Imaginen esto: una herramienta de IA, de una startup llamada Xbow, ¡ya está rankeada como la número uno en detección de errores en HackerOne! Y no es joda, la empresa acaba de recibir 75 millones de dólares en financiación. Acá en San Juan, podríamos decir que están «haciendo dulce de membrillo» con la IA.
Dawn Song, profesora de UC Berkeley y jefa de este proyecto, lo pone así: «Las habilidades de codificación de los últimos modelos de IA, combinadas con la mejora de las capacidades de razonamiento, están empezando a cambiar el panorama de la ciberseguridad». Es como si la IA estuviera aprendiendo a jugar al truco y ya supiera cuándo cantar envido y cuándo flor.
¿Un arma de doble filo?
Pero ojo, no todo es jauja. A medida que la IA se ponga más canchera, va a automatizar tanto el descubrimiento como la explotación de fallos de seguridad. Esto significa que, por un lado, las empresas podrán mantener su software más seguro, pero, por el otro, los hackers podrían tener una herramienta aún más poderosa para meterse en los sistemas. Es un poco como darle una Ferrari a un principiante: puede que llegue más rápido, pero también puede terminar estrellado contra un árbol.
«Ni siquiera nos esforzamos tanto», advierte Song. «Si aumentáramos el presupuesto y dejáramos que los agentes funcionaran durante más tiempo, podrían hacerlo aún mejor». Es decir, esto es solo el comienzo. Si le damos más rosca a la IA, quién sabe qué más podría encontrar.
Aún falta para el “jaque mate”
El equipo de Berkeley puso a prueba modelos de OpenAI, Google, Anthropic, Meta, DeepSeek y Alibaba, combinados con varios agentes para buscar bugs. La idea era ver si podían identificar vulnerabilidades ya conocidas y, además, buscar nuevas fallas por su cuenta.
En el proceso, las herramientas de IA generaron cientos de exploits de prueba de concepto, y los investigadores encontraron 15 vulnerabilidades previamente desconocidas y dos que ya habían sido corregidas. Un golazo, sin dudas, pero como dice el dicho: «Roma no se construyó en un día».
Katie Moussouris, fundadora y CEO de Luta Security, lo resume bien: «No sustituyas todavía a tus cazadores de bugs humanos». La IA es una herramienta poderosa, pero todavía necesita la guía y el expertise de los humanos. Es como el asado: podés tener la mejor parrilla, pero si no tenés un buen asador, el resultado no va a ser el mismo.
