Recientes investigaciones de la Universidad de California, Berkeley, han puesto de manifiesto que los modelos de inteligencia artificial (IA) no solo son extraordinariamente efectivos en la ingeniería de software, sino que también están haciendo grandes avances en la identificación de fallas en el mismo. ¿Te imaginas? Durante una prueba exhaustiva, los investigadores evaluaron la capacidad de los modelos de IA más avanzados para detectar vulnerabilidades en 188 grandes bases de código abierto, utilizando un nuevo estándar conocido como CyberGym. El resultado fue asombroso: estos modelos identificaron 17 errores nuevos, de los cuales 15 eran completamente desconocidos hasta el momento, conocidos como vulnerabilidades de día cero.
Resultados Impactantes de la Investigación
Dawn Song, profesora de UC Berkeley y líder del estudio, no se anda con rodeos: “muchas de estas vulnerabilidades son críticas”. La combinación de habilidades de codificación y capacidades de razonamiento de estos modelos de IA está empezando a cambiar radicalmente el panorama de la ciberseguridad. Este avance es un momento decisivo, y según Song, “realmente superó nuestras expectativas generales”. ¿Cuál será el impacto de esto en el futuro de la seguridad digital?
A medida que estos modelos siguen evolucionando, se espera que automaticen tanto la detección como la explotación de fallas de seguridad. Esto puede ser una gran noticia para las empresas que buscan proteger su software, pero también podría facilitar el trabajo a los hackers para acceder a sistemas vulnerables. “No nos esforzamos demasiado”, comenta Song. “Si aumentáramos el presupuesto y permitiéramos que los agentes trabajaran más tiempo, podrían hacerlo aún mejor”.
Las Capacidades de la IA en Ciberseguridad
El equipo de investigación de UC Berkeley no se quedó atrás y probó modelos de IA convencionales de empresas como OpenAI, Google y Anthropic, junto con ofertas de código abierto de Meta, DeepSeek y Alibaba. Utilizando descripciones de vulnerabilidades de software conocidas de los 188 proyectos analizados, alimentaron estas descripciones a los agentes de ciberseguridad impulsados por IA para evaluar su capacidad de identificar los mismos errores al analizar nuevos códigos, realizar pruebas y crear explotaciones de prueba de concepto.
Los resultados fueron impresionantes. Los agentes generaron cientos de pruebas de concepto, logrando identificar 15 vulnerabilidades previamente no vistas y dos que ya habían sido reveladas y corregidas. Este trabajo se suma a la creciente evidencia de que la IA puede automatizar el descubrimiento de vulnerabilidades de día cero, las cuales son especialmente peligrosas y valiosas porque podrían permitir el acceso a sistemas activos. ¿Qué pasará cuando estas herramientas estén al alcance de más usuarios?
Retos y Futuro de la IA en la Ciberseguridad
A pesar de estos avances, la IA todavía enfrenta desafíos significativos. Katie Moussouris, fundadora y CEO de Luta Security, señala que, aunque el trabajo es impresionante, “la IA todavía no puede igualar la experiencia humana”. La mejor combinación de modelos y agentes solo logró identificar alrededor del 2% de las vulnerabilidades. Moussouris advierte que no debemos reemplazar a los cazadores de errores humanos por completo. ¿Realmente podríamos confiar solo en la IA?
Brendan Dolan-Gavitt, profesor asociado en la Universidad de Nueva York y investigador en Xbow, sugiere que este nuevo trabajo muestra un descubrimiento realista de vulnerabilidades de día cero en un volumen considerable de código, utilizando una amplia gama de tareas impulsadas por IA. Sin embargo, también anticipa un aumento en los ataques que involucren estas vulnerabilidades, ya que la competencia en la detección de errores se intensifica. ¿Estamos preparados para enfrentar esta nueva era de ciberseguridad?
Finalmente, la investigadora Dawn Song destaca la importancia de monitorear las capacidades de estas herramientas de IA, ya que su continuo desarrollo podría tener un impacto significativo en el campo de la ciberseguridad. La creación del AI Frontiers CyberSecurity Observatory es un paso hacia la evaluación de estas capacidades mediante varios estándares, en un esfuerzo por prevenir que la IA beneficie a los atacantes más que a los defensores. La pregunta es: ¿quién ganará la carrera entre la IA y los ciberdelincuentes?
