Un hilo de discusión en Lobsters que comenzó en silencio hace unos días ha recibido una cantidad inusual de tráfico para un foro que normalmente se mantiene bastante tranquilo. El tema: ¿qué estás haciendo concretamente para protegerte contra un escenario en el que los LLM comiencen a encontrar zero-days a escala industrial?

Y no, esto ya no es ciencia ficción especulativa.

Las cifras que circulan en el hilo merecen ser tomadas en serio. CrowdStrike informó recientemente un aumento del 89 por ciento interanual en los ataques habilitados por IA, y el tiempo promedio desde que un sistema es comprometido hasta que el atacante se mueve lateralmente en la red se ha reducido a 29 minutos. ¿El tiempo de irrupción más rápido observado? 27 segundos. Apenas hay tiempo para reaccionar.

Desde finales de 2025 hasta marzo de 2026, la proporción de vulnerabilidades de seguridad donde la IA ayudó a encontrarlas saltó del 16 por ciento a más del 66 por ciento.

Lo que hace que el hilo de Lobsters sea particularmente interesante es que no está lleno de retórica apocalíptica. Es técnico, pragmático y un poco aterrador precisamente porque la gente allí sabe de lo que habla. Algunos destacan el air-gapping como la única defensa real — la clásica estrategia de "la máquina que nunca ha estado en línea". Otros señalan que esto no ayuda para la infraestructura de la que realmente dependemos.

El contexto es importante aquí: las CVE de IA (es decir, vulnerabilidades documentadas relacionadas con sistemas de IA) se dispararon a más de 2.100 solo en 2025, un aumento de casi el 35 por ciento. De estas, más de 1.500 tienen una gravedad alta o crítica. Esto significa que la superficie de ataque está creciendo más rápido que las capacidades de defensa.

El escenario verdaderamente preocupante que se discute en el hilo no es que la IA ataque directamente los sistemas — es que un pequeño grupo de personas con acceso a potentes LLM puede encontrar y explotar vulnerabilidades que tardan años en parchearse, o que no pueden parchearse en absoluto porque están profundamente incrustadas en el hardware o los protocolos.

Google Project Zero ya ha demostrado que la IA puede aumentar la detección de vulnerabilidades hasta 20 veces en los benchmarks estándar. Es una espada de doble filo de proporciones inmensas.

¿Por qué deberías prestar atención a esto ahora? Porque los medios de seguridad mainstream todavía tratan esto como un escenario futuro. Ya no lo es. El hilo de Lobsters es una señal temprana de que las personas que trabajan directamente con la seguridad están empezando a tomar esto en serio a un nivel completamente diferente al de hace seis meses.

NOTA: Esto se basa en discusiones de la comunidad y cifras agregadas de la industria — no verificado a través de fuentes primarias independientes. Señal temprana, no un hecho consumado.