En resumen

  • Una herramienta de IA encontró más de 10.000 vulnerabilidades clasificadas como de gravedad alta o crítica en software popular y extendido, según Digi.no
  • El proyecto, conocido como Project Glasswing, utilizó el modelo de IA de Anthropic e involucró a Cloudflare como socio, entre otros
  • De casi 1.800 hallazgos críticos evaluados, más del 90 por ciento fueron confirmados como amenazas reales
  • Los expertos señalan que la IA y la competencia humana se complementan mejor en combinación

Una iniciativa de seguridad a gran escala impulsada por IA ha producido resultados que han sorprendido a la comunidad de seguridad. A través del proyecto conocido como Project Glasswing, la inteligencia artificial fue utilizada para analizar software crítico y de uso generalizado — y los hallazgos son asombrosos en su alcance.

Más de 10.000 vulnerabilidades graves descubiertas

Según Digi.no, se trata de más de 10.000 vulnerabilidades clasificadas como de gravedad alta o crítica, distribuidas en software popular que afecta, entre otros, a grandes sistemas operativos. El proyecto utilizó el modelo de IA de Anthropic, Claude Mythos Preview, como motor central en el análisis.

Cloudflare, uno de los socios del proyecto, informó haber encontrado por su cuenta alrededor de 2.000 errores — de los cuales 400 fueron considerados de gravedad alta o crítica. La compañía también afirmó que la proporción de falsos positivos fue menor de lo que suelen lograr los evaluadores humanos.

10 000+
Vulnerabilidades críticas totales
90,6 %
Porcentaje de amenazas reales confirmadas

De las 1.752 vulnerabilidades de gravedad alta y crítica que fueron revisadas exhaustivamente, 1.587 —equivalente al 90,6 por ciento— fueron confirmadas como problemas de seguridad reales y no como falsas alarmas. Es una precisión que supera a muchas herramientas y procesos tradicionales.

Herramienta de IA reveló más de 10.000 vulnerabilidades de seguridad críticas en software popular - Bilde 1

La IA supera a nueve de cada diez evaluadores humanos

Los hallazgos de Project Glasswing no son un caso aislado. El estudio de investigación ARTEMIS, que enfrentó a diez evaluadores de penetración humanos certificados por OSCP contra seis agentes de IA comerciales, mostró que los sistemas de IA tuvieron un rendimiento superior al de nueve de cada diez humanos en la clasificación general. La IA identificó nueve vulnerabilidades válidas con una tasa de éxito del 82 por ciento, destacándose especialmente en el mapeo de redes a gran escala y el escaneo paralelo.

DARPA también ha realizado pruebas similares a través de su Artificial Intelligence Cyber Challenge, donde los sistemas de IA completaron evaluaciones de seguridad en pocas horas — tareas que anteriormente requerían varios profesionales y hasta seis meses.

La IA puede hacer en horas lo que antes le tomaba a un equipo completo seis meses

La experiencia humana sigue siendo irremplazable

A pesar de las cifras impresionantes, el panorama no constituye un argumento completo para reemplazar a los expertos en seguridad con algoritmos. Según la revisión de la investigación, los evaluadores humanos son mucho mejores para detectar ataques complejos de múltiples etapas y los llamados errores de lógica de negocio — es decir, errores que surgen en la interacción entre sistemas y patrones de uso, no solo en el código de forma aislada.

La firma de análisis Gartner estima que para 2027, los agentes de IA reducirán a la mitad el tiempo necesario para explotar credenciales de cuenta expuestas — lo que ilustra que la tecnología evoluciona rápidamente en ambas direcciones: tanto como defensa como potencial amenaza en manos de atacantes.

El modelo híbrido se destaca

El consenso profesional predominante, reflejado en la revisión de investigación detrás de este artículo, es que ni la IA ni los humanos por sí solos son suficientes para la ciberseguridad moderna. La IA maneja el volumen y la velocidad; los expertos humanos aportan comprensión contextual y resolución creativa de problemas. Los resultados de Project Glasswing subrayan este punto: incluso con una precisión superior al 90 por ciento, los casos restantes requieren el juicio humano para una evaluación correcta.

Para las organizaciones que dependen del software afectado, el mensaje de Digi.no es inequívoco: la magnitud de las vulnerabilidades de seguridad no descubiertas en sistemas extendidos es mucho mayor de lo que la mayoría había asumido — y la IA ha demostrado ahora que puede encontrarlas a un ritmo que ningún humano puede igualar por sí solo.