Toni Martinez 
La IA es capaz de detectar vulnerabilidades.
Expertos advierten de que la IA capaz de detectar vulnerabilidades obliga a empresas y organismos a pasar de la reacción a la prevención constante
La irrupción de modelos avanzados de inteligencia artificial especializados en código y ciberseguridad ha abierto un nuevo frente para empresas, administraciones y responsables de seguridad digital. El experto en IA Carlos Cosials, director del Máster IA for Business de UIC Barcelona, ha advertido de que la respuesta no puede limitarse a esperar el ataque, sino que exige una actitud “preventiva” o “higiénica”: localizar las vulnerabilidades propias antes de que lo hagan actores maliciosos. La reflexión llega tras la presentación de Claude Mythos Preview, el nuevo modelo de Anthropic que ha generado inquietud en el sector tecnológico por su capacidad para identificar fallos de seguridad en sistemas complejos. Según Anthropic, Mythos Preview ha detectado ya miles de vulnerabilidades de alta gravedad, algunas de ellas en sistemas operativos, navegadores y software ampliamente utilizado. La compañía lo ha integrado en Project Glasswing, una iniciativa destinada a poner estas capacidades al servicio de la defensa y la corrección temprana de fallos. Cosials subraya que, en ciberseguridad, la existencia de vulnerabilidades no es una excepción, sino una realidad habitual en cualquier organización. La diferencia está en si la empresa las busca de forma activa con sus propios sistemas de control o si permanece expuesta hasta que un atacante las descubre y las explota. “O tienes una actitud preventiva, higiénica, de ir buscándolas tú por tu misma iniciativa con tus sistemas de ciberseguridad, o estás expuesto y no sabes que estás expuesto hasta que no te entran”, sostiene el experto en la intervención recogida por Europa Press. El riesgo no reside únicamente en que una herramienta como Mythos pueda encontrar fallos, sino en la velocidad y escala con la que estas capacidades pueden operar. El AI Security Institute del Reino Unido ha señalado que, en pruebas controladas, Claude Mythos Preview mostró mejoras significativas en retos de ciberseguridad y fue capaz de ejecutar ataques de varias fases sobre redes vulnerables, así como descubrir y explotar fallos de forma autónoma en escenarios diseñados para evaluación.
La lectura operativa es clara: la ventana entre el descubrimiento de una vulnerabilidad y su posible explotación tiende a reducirse. En ese escenario, los modelos de IA pueden ser una herramienta defensiva de gran valor para equipos de seguridad, desarrolladores y mantenedores de software, pero también pueden elevar el riesgo si acaban en manos de actores hostiles o si sus capacidades se replican sin controles suficientes.
Para las empresas, la consecuencia inmediata es que la ciberseguridad debe dejar de verse como un gasto técnico aislado y convertirse en una función estratégica. El marco de referencia del NIST organiza la gestión del riesgo en seis funciones: gobernar, identificar, proteger, detectar, responder y recuperar. Esta lógica encaja con la advertencia de Cosials: no basta con proteger el perímetro; hay que conocer los activos, medir el riesgo, monitorizar, corregir y preparar la respuesta ante incidentes. En el caso de pymes, entidades públicas y organizaciones con recursos limitados, la denominada “higiene digital” pasa por medidas básicas pero críticas: inventario de sistemas, actualización de software, gestión de parches, autenticación multifactor, copias de seguridad, segmentación de accesos, formación contra el phishing y revisión periódica de configuraciones. INCIBE recuerda que la explotación de vulnerabilidades no corregidas puede poner en riesgo contraseñas y servicios de negocio, y que el doble factor ayuda a proteger cuentas frente a accesos no autorizados. La aparición de Mythos no significa que todas las empresas vayan a sufrir ataques inmediatos generados por IA, pero sí confirma un cambio de paradigma: las vulnerabilidades ocultas serán cada vez más fáciles de descubrir. La ventaja competitiva y defensiva estará en quienes las detecten primero, documenten su exposición, prioricen los parches y mantengan una vigilancia continua.