Los mitos importan. Es un importante paso adelante en el descubrimiento de vulnerabilidades asistido por IA. Pero esto no significa que la ciberseguridad haya cambiado de la noche a la mañana, ni que las empresas se enfrenten repentinamente mañana a una explotación totalmente automatizada a escala de Internet.

Significa que el lado ofensivo de la IA sigue mejorando. El lado defensivo necesita ponerse al día ahora.

Mythos es el último paso de una tendencia más larga. Durante los próximos años, se espera que se repita el mismo patrón: progreso incremental, luego un salto; progreso incremental, luego un salto. Los modelos serán más capaces y más baratos con cada ciclo, y cada salto ejercerá más presión sobre los equipos de seguridad que aún operan a velocidad humana.

Mythos demostró que la IA puede encontrar vulnerabilidades de software con una profundidad sin precedentes. Se trata de un progreso real y debe tomarse en serio. Sin embargo, este no fue un caso en el que la IA de repente hizo que los compromisos empresariales fueran baratos, fáciles o automáticos. Incluso en los propios ejemplos de Anthropic, el costo de descubrir una vulnerabilidad crítica fue significativo. Un ejemplo citó aproximadamente 20.000 dólares en costos de tokens para identificar un problema importante de OpenBSD.

Mythos hizo que el descubrimiento de vulnerabilidades fuera más barato de escalar al reemplazar los cuerpos con dólares. Pero encontrar una vulnerabilidad es sólo una parte de la realidad operativa.

Un atacante todavía tiene que determinar si esa vulnerabilidad es explotable en una empresa específica, identificar una ruta de ataque viable, obtener el acceso necesario y poner en funcionamiento con éxito el exploit en un entorno real. Nada de eso se volvió fácil simplemente porque un modelo encontró un error de software.

Y en el lado defensivo, Mythos aún no resuelve el problema empresarial mucho más difícil: ¿Cómo sé si esta vulnerabilidad es realmente explotable en mi entorno y cuál es la forma más eficiente de remediarla sin arruinar el negocio?

El verdadero problema empresarial no es el descubrimiento. Es priorización y acción. Los líderes de seguridad no luchan sólo porque existen vulnerabilidades. Luchan porque el costo operativo de decidir qué importa, qué es explotable, qué puede esperar y qué puede arreglarse de manera segura es enorme.

Si una gran empresa se entera de que se ha encontrado una vulnerabilidad crítica en un software ampliamente utilizado, el siguiente paso no es mágico. Es una dolorosa cadena de preguntas operativas centradas en dónde ejecutan el software, qué versión es, si existe una ruta de ataque realista y muchas más.

Mythos deja prácticamente sin cambios el costo defensivo de responder esas preguntas dentro de una empresa real. La lección correcta es la preparación.

Uno de los errores que suele cometer el mercado con la IA es asumir que cada nueva capacidad llega en el momento en que todo cambia. Lo correcto es comenzar ahora con sistemas de IA defensivos que sean útiles hoy y estén preparados para mejorar con el tiempo. Para la mayoría de las empresas, eso significa buscar productos de IA que ayuden a mejorar la investigación de alertas, la búsqueda de amenazas y la gestión de vulnerabilidades, que ofrezcan capacidades de auditoría completas, se conecten a los datos y razones empresariales para proporcionar un contexto organizacional y evolucionen a medida que madura el panorama del modelo.

El objetivo es sentar las bases operativas ahora para un futuro en el que una mayor parte del trabajo pueda automatizarse de forma segura.

Hoy en día, los defensores necesitan sistemas que permitan a los humanos seguir involucrados mientras la máquina les ayuda a escalar. Con el tiempo, esa participación cambiará. Los analistas dedicarán menos tiempo a realizar trabajos repetitivos y más tiempo a orquestar, revisar y mejorar la forma en que se realiza el trabajo automatizado.

Con el tiempo, algunos flujos de trabajo deberán revisarse de forma masiva en lugar de una acción a la vez. Cuando la respuesta avanza a la velocidad de una máquina, es posible que un humano no apruebe cada acción correctiva individual. En cambio, necesitarán una vista del centro de control sobre los patrones: qué hizo el sistema hoy, qué funcionó, qué no y qué debería ajustarse mañana.

Se trata de un futuro muy distinto de la idea simplista de “reemplazar al analista”.

El verdadero futuro es aquel en el que los humanos pasen de realizar todas las tareas manualmente a supervisar sistemas, dar forma a políticas, revisar patrones y controlar cómo operan agentes cada vez más capaces.

El mito es una advertencia. No porque eso signifique que el cielo se está cayendo. Porque muestra hacia dónde se dirige el lado ofensivo. Los defensores deben actuar en consecuencia y con urgencia.

Alex Thaman es el director de tecnología de Andesite. Durante más de 20 años de carrera, Alex ha sido líder de ingeniería en Microsoft, Unity Software y Scale AI.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado ocho nuevas vulnerabilidades en sus vulnerabilidades explotadas conocidas (KEV), que incluye tres fallas que afectan a Cisco Catalyst SD-WAN Manager, citando evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2023-27351 (Puntuación CVSS: 8,2): una vulnerabilidad de autenticación incorrecta en PaperCut NG/MF que podría permitir a un atacante eludir la autenticación en las instalaciones afectadas a través de la clase SecurityRequestFilter.
• CVE-2024-27199 (Puntuación CVSS: 7,3): una vulnerabilidad de recorrido de ruta relativa en JetBrains TeamCity que podría permitir a un atacante realizar acciones de administración limitadas.
• CVE-2025-2749 (Puntuación CVSS: 7,2): una vulnerabilidad de recorrido de ruta en Kentico Xperience que podría permitir que el servidor Staging Sync de un usuario autenticado cargue datos arbitrarios en ubicaciones relativas de ruta.

• CVE-2025-32975 (Puntuación CVSS: 10,0): una vulnerabilidad de autenticación incorrecta en el dispositivo de administración de sistemas (SMA) Quest KACE que podría permitir a un atacante hacerse pasar por usuarios legítimos sin credenciales válidas.
• CVE-2025-48700 (Puntuación CVSS: 6.1): una vulnerabilidad de secuencias de comandos entre sitios en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante ejecutar JavaScript arbitrario dentro de la sesión del usuario, lo que resultaría en un acceso no autorizado a información confidencial.
• CVE-2026-20122 (Puntuación CVSS: 5,4): un uso incorrecto de la vulnerabilidad de API privilegiadas en Cisco Catalyst SD-WAN Manager que podría permitir a un atacante cargar y sobrescribir archivos arbitrarios en el sistema afectado y obtener privilegios de usuario de vmanage.
• CVE-2026-20128 (Puntuación CVSS: 7,5): una vulnerabilidad de almacenamiento de contraseñas en un formato recuperable en Cisco Catalyst SD-WAN Manager que podría permitir que un atacante local autenticado obtenga privilegios de usuario DCA accediendo a un archivo de credenciales para el usuario DCA en el sistema de archivos como un usuario con pocos privilegios.
• CVE-2026-20133 (Puntuación CVSS: 6,5): exposición de información confidencial a una vulnerabilidad de actor no autorizado en Cisco Catalyst SD-WAN Manager que podría permitir a atacantes remotos ver información confidencial en los sistemas afectados.

Vale la pena señalar que CISA agregó CVE-2024-27198, otra falla que afecta las versiones locales de JetBrains TeamCity, al catálogo KEV en marzo de 2024. No se sabe en este momento si ambas vulnerabilidades se están explotando juntas y si la actividad es obra del mismo actor de amenazas.

La explotación de CVE-2023-27351, por otro lado, se atribuyó a Lace Tempest en abril de 2023 en relación con ataques que entregaban las familias de ransomware Cl0p y LockBit.

En cuanto a CVE-2025-32975, Arctic Wolf dijo que observó actores de amenazas desconocidos que utilizaban el error como arma para atacar sistemas SMA sin parches a fines del mes pasado, aunque los objetivos finales exactos de la campaña aún se desconocen.

Cisco, por su parte, también dijo que tuvo conocimiento de la explotación de CVE-2026-20122 y CVE-2026-20128 en marzo de 2026. La compañía aún no ha revisar su aviso para reflejar el abuso salvaje de CVE-2026-20133.

A la luz de la explotación activa, se recomendó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aborden las tres vulnerabilidades de Cisco antes del 23 de abril de 2026 y el resto antes del 4 de mayo de 2026.