Claude Mythos Preview de Anthropic ha dominado las discusiones sobre seguridad desde su anuncio el 7 de abril. Los primeros informes describen un poderoso sistema de inteligencia artificial centrado en la ciberseguridad capaz de identificar vulnerabilidades a escala y plantear serias dudas sobre la rapidez con la que las organizaciones pueden validar, priorizar y remediar lo que encuentran.

El debate que siguió se centró principalmente en las preguntas correctas: ¿Se trata de un cambio radical o de un avance gradual? ¿Restringir el acceso a Microsoft, Apple, AWS y JPMorgan realmente reduce el riesgo, o simplemente concentra la ventaja defensiva entre los que ya están bien defendidos? ¿Qué sucede cuando los adversarios (actores estatales, empresas criminales) crean capacidades equivalentes?

Estos son importantes. Pero hay un problema operativo más silencioso que está recibiendo menos atención y es el que realmente determinará si la mayoría de las organizaciones sobrevivirán a este cambio.

La brecha entre el descubrimiento y la remediación

El anuncio de Mythos y la conversación más amplia sobre seguridad de la IA que inició tiene que ver en gran medida con descubrimiento vulnerabilidades más rápido. Eso es valioso. Pero encontrar una vulnerabilidad y fijación Son dos flujos de trabajo completamente diferentes, y la brecha entre ellos es donde la mayoría de los programas de seguridad desaparecen silenciosamente. Esa es exactamente la brecha PlexTrac Fue construido para cerrar.

Considere lo que normalmente sucede después de que una prueba de penetración o un análisis de vulnerabilidad revela un hallazgo crítico: entra en una hoja de cálculo, un ticket o un informe en PDF que llega a la bandeja de entrada de alguien. El equipo de seguridad lo sabe. El equipo de ingeniería puede que lo sepa o no. La propiedad de la remediación es ambigua. No existe una forma clara de rastrear si el parche realmente se envió, si se le quitó prioridad o si alguna vez se programó una nueva prueba. Mientras tanto, los hallazgos lo son.

Los modelos de IA como Mythos acelerarán la aporte lado de este oleoducto dramáticamente. Pueden descubrir vulnerabilidades a un ritmo y profundidad que los equipos rojos humanos simplemente no pueden igualar. Pero si la infraestructura organizacional para clasificar, priorizar, comunicar y verificar las soluciones no ha seguido el ritmo, un descubrimiento más rápido sólo significa una acumulación de problemas críticos sin resolver que crece más rápidamente.

Éste es el problema que un modelo como Mythos en realidad agudiza. Si su proceso de pentest actual tarda tres semanas en revelar diez hallazgos de alta gravedad, y la remediación ya está luchando por mantenerse al día, ¿qué sucede cuando esa misma área de superficie se escanea continuamente y genera hallazgos a un ritmo diez veces mayor?

El problema del falso positivo de Schneier es real

Bruce Schneier planteó un punto importante en su artículo: no conocemos la tasa de falsos positivos de Mythos en la producción sin filtrar. Anthropic informa un 89% de acuerdo de gravedad con los contratistas humanos en los hallazgos que exhibido—Pero esa es una muestra seleccionada, no una distribución completa. Los sistemas de inteligencia artificial que detectan casi todos los errores reales también tienden a generar vulnerabilidades que parecen plausibles en el código parcheado o corregido.

Esto es importante desde el punto de vista operativo. Una herramienta que genera falsos positivos a escala que suenan muy confiables no reduce la carga del equipo de seguridad, sino que la aumenta. Cada hallazgo crítico espurio que debe ser evaluado y descartado es tiempo que un ingeniero de seguridad no dedica a uno real. El valor del descubrimiento de vulnerabilidades asistido por IA solo se materializa si los hallazgos que surgen de él pueden evaluarse de manera eficiente, contextualizarse frente al riesgo comercial real y enviarse a las personas adecuadas.

Cómo luce realmente el problema de la infraestructura

Los equipos mejor posicionados para absorber la velocidad de descubrimiento de la era de los Mitos son los que ya tienen tres cosas en su lugar:

Gestión centralizada de hallazgos. Ni un sistema de tickets, ni un tablero JIRA adjunto a una hoja de cálculo. Un lugar especialmente diseñado donde los hallazgos de vulnerabilidades de múltiples fuentes (resultados del escáner, informes de pentest, interacciones del equipo rojo) se encuentran en un formato normalizado y consultable. Sin esto, la integración de los hallazgos generados por la IA sólo añade otro silo de datos.

Priorización contextualizada del riesgo. Las puntuaciones CVSS sin procesar son un punto de partida, no una decisión. Un hallazgo crítico en un sistema interno y aislado no es el mismo riesgo que el mismo hallazgo en una API orientada al cliente. Las organizaciones que solo pueden ordenar por puntuación de gravedad se verán abrumadas cuando el descubrimiento de IA comience a producir hallazgos en volumen; Las organizaciones que pueden calificar según la criticidad de los activos, el impacto comercial y el contexto de exposición pueden realizar una clasificación inteligente.

Remediación dinámica basada en riesgos mediante puntuación configurable

Seguimiento de remediación de circuito cerrado. Aquí es donde la mayoría de los programas realmente fallan. Un hallazgo que no se verifica como solucionado es solo un pasivo que tiene un nombre. Las pruebas continuas, los flujos de trabajo de corrección estructurados y las transferencias claras de propiedad no son características interesantes: son la diferencia entre un programa de seguridad que mejora con el tiempo y uno que simplemente acumula riesgos documentados.

PlexTrac es una plataforma de gestión de exposición e informes pentest que se ha estado construyendo exactamente en esta dirección: datos de hallazgos centralizados, priorización de riesgos contextuales y flujos de trabajo de remediación estructurados.

Mythos (y herramientas similares) serán muy buenos para indicarle que su casa tiene problemas estructurales. PlexTrac es la capa operativa que garantiza que esos problemas realmente se solucionen, se asigne al contratista adecuado y alguien verifique el trabajo antes de cerrarlo. Ambos son necesarios. La mayoría de las organizaciones han invertido en el equivalente de mejores inspecciones de viviendas y al mismo tiempo han permitido que el sistema de seguimiento de reparaciones permanezca en un documento de Google compartido.

El problema de acceso que Schneier identificó también es un problema de flujo de trabajo

Una crítica al Proyecto Glasswing es que concentrar el acceso a Mythos entre 50 grandes proveedores significa que las organizaciones mejor equipadas para actuar sobre los hallazgos los obtienen primero. Las empresas Fortune 500, como señaló el artículo de Fortune del ex director cibernético nacional, están mejor posicionadas para absorber y remediar; son las PYME, los operadores de infraestructura regional y los sistemas industriales especializados los que están más expuestos y cuentan con menos recursos.

Se trata de un problema estructural de acceso que las políticas tendrán que abordar. Pero también implica un problema de flujo de trabajo: incluso si se democratizara el acceso, muchas organizaciones más pequeñas no tienen la infraestructura operativa para convertir los hallazgos de seguridad generados por IA en soluciones ejecutadas. Las herramientas que reducen los gastos generales de ese proceso (informes más rápidos, comunicación de hallazgos más clara, transferencias de remediación con menor fricción) son posiblemente más importantes para esas organizaciones que para las empresas que ya pueden dedicar personal al problema.

La conclusión práctica

El momento Mythos es una función forzada útil. No porque signifique que sus sistemas definitivamente estarán comprometidos mañana, sino porque hace visible una brecha que ha estado creciendo silenciosamente durante años: los equipos de seguridad están mejorando en la búsqueda de problemas, mientras que la maquinaria organizacional para solucionarlos ha evolucionado mucho más lentamente.

La respuesta correcta no es el pánico y no es esperar a ver si el acceso a Glasswing eventualmente se expande para incluirlo a usted. Está tomando el anuncio de Mythos como un aviso para auditar su propio proceso de remediación: ¿Cuánto tiempo lleva un hallazgo crítico pasar del descubrimiento a la solución verificada? ¿Cuántos hallazgos abiertos de alta gravedad se encuentran actualmente en algún estado ambiguo de «estar trabajando»? ¿Puede realmente volver a realizar la prueba después de la corrección o simplemente confía en que el ticket de ingeniería se cerró?

Esas preguntas no requieren acceso a Mythos para responder. Y para la mayoría de los equipos, las respuestas serán más incómodas que cualquier cosa del documento técnico de 245 páginas de Anthropic.

La medida de la Comisión Federal de Comunicaciones de prohibir los enrutadores fabricados en el extranjero toca una amenaza real, pero los críticos dicen que la regla de la agencia es demasiado amplia, prácticamente inviable y no aborda de manera significativa las debilidades en la seguridad de los enrutadores que han llevado a importantes violaciones a los gobiernos y empresas estadounidenses.

Según la Ley de Equipos Seguros y la Ley de Redes Seguras, la FCC puede prohibir a los fabricantes de tecnología extranjeros si los considera un riesgo para la seguridad nacional. Pero el gobierno federal casi siempre ha optado por apuntar estrechamente a empresas extranjeras específicas con conexiones conocidas o problemáticas con adversarios extranjeros, como la empresa de telecomunicaciones china Huawei o la empresa rusa de antivirus Kaspersky Labs.

Sin embargo, las restricciones anunciadas el lunes simplemente prohíben todos los enrutadores «producidos en un país extranjero», excepto aquellos que cuentan con aprobación condicional de los departamentos de Defensa o Seguridad Nacional.

La orden impone un cese radical e inmediato de la compra de enrutadores y servicios Wi-Fi no estadounidenses para agencias gubernamentales y empresas, junto con preguntas sin respuesta sobre dónde comprar a continuación y qué hacer con los dispositivos extranjeros ya integrados en sus redes.

Al justificar la decisión, el presidente de la FCC, Brendan Carr, citó un informe interinstitucional dirigido por la Casa Blanca del 20 de marzo que concluía que los enrutadores fabricados en el extranjero plantean riesgos «inaceptables» para la seguridad nacional de Estados Unidos.

“Siguiendo el liderazgo del presidente Trump, la FCC continuará [to do] «Nuestra parte es garantizar que el ciberespacio, la infraestructura crítica y las cadenas de suministro de Estados Unidos sean seguros y protegidos», dijo Carr.

A los responsables políticos estadounidenses les preocupan los posibles riesgos de ciberseguridad que supone depender de tecnología y equipos de países como China o Rusia, donde las leyes locales obligan a las empresas nacionales a cooperar en investigaciones de seguridad nacional y a entregar datos confidenciales.

En 2024, los miembros del Congreso pidieron al Departamento de Comercio que investigara a los fabricantes chinos de enrutadores y Wi-Fi como TP-Link, alegando el «grado inusual de vulnerabilidades y el cumplimiento requerido de la compañía». [Chinese] ley” equivalía a un riesgo inaceptable para la seguridad nacional.

El año pasado, cinco presidentes de comités republicanos de la Cámara de Representantes instaron al secretario de Comercio, Howard Lutnick, a utilizar la autoridad del departamento “para eliminar de las cadenas de suministro nacionales los productos y servicios creados por China y otros adversarios extranjeros que han demostrado tener el potencial de introducir vulnerabilidades de seguridad”. Una lista adjunta de industrias que “necesitan acción inmediata” incluía enrutadores y Wi-Fi, al tiempo que mencionaba a TP-Link y Huawei como entidades “chinas o controladas por chinos”.

Si bien la inseguridad de los enrutadores es un problema importante, vale la pena señalar que los productos fabricados en Estados Unidos están lejos de ser inmunes a la piratería extranjera. Las principales campañas de piratería china, como Salt Typhoon, tuvieron éxito no gracias a las puertas traseras de la tecnología fabricada en China, sino a través de la explotación de vulnerabilidades conocidas y previamente reportadas en productos estadounidenses y occidentales.

Un exlíder de inteligencia de EE. UU. dijo a CyberScoop que el país de origen importa más cuando se trata de un adversario como China, que tiene leyes de divulgación de vulnerabilidades y seguridad nacional que exigen que las empresas chinas de enrutadores revelen primero las vulnerabilidades de ciberseguridad al gobierno.

Pero no son sólo los enrutadores chinos, o los fabricados por rivales directos de Estados Unidos, los que preocupan a los funcionarios de inteligencia.

Incluso en un mundo global y conectado digitalmente, la proximidad sigue siendo importante. Los países extranjeros pueden perturbar o infectar más fácilmente la cadena de suministro de países vecinos o limítrofes que pueden depender de piezas, componentes o infraestructura de Internet similares.

“Los atacantes tienen muchas opciones sobre lo que se puede hacer con el acceso al enrutador. [It’s] Aún más fácil si tienes al país que los dirige y accede a ellos en tu patio trasero”, dijo el funcionario, que solicitó el anonimato para hablar con franqueza.

Los inversores pueden estar sacando conclusiones similares. En particular, las acciones de las empresas asiáticas de enrutadores cayó tras el anuncio de la FCCmientras que la empresa estadounidense NetGear, que no depende de las cadenas de suministro chinas, vio sus acciones subir un 12%.

Un nuevo punto de influencia

La naturaleza amplia de la orden, junto con la capacidad de otorgar exenciones a empresas específicas a voluntad, restablece efectivamente la relación regulatoria entre las empresas extranjeras de enrutadores y el gobierno de Estados Unidos. Según él, cada empresa con operaciones de fabricación en China o en el extranjero tendría que solicitar a la FCC una exención de la regla.

La ambigüedad detrás de lo que, específicamente, una empresa tendría que hacer para obtener una exención podría abrir el proceso a posibles abusos o clientelismo político, dijeron los expertos.

Un exfuncionario de la FCC dijo a CyberScoop que estaban desconcertados por la medida y cuestionó si estaba relacionada con la seguridad nacional o si incluso sería aprobada legalmente en los tribunales.

En lugar de agregar empresas objetivo con vínculos extranjeros o un historial de vulnerabilidades de ciberseguridad a la lista de proveedores prohibidos, como lo ha hecho el gobierno y defendido exitosamente En el pasado, la FCC intentó prohibir todos los enrutadores fabricados en el extranjero en todo el mundo. Esto representa una acción disruptiva potencialmente significativa en un entorno en el que muchas empresas y gobiernos hoy utilizan TP-Link y otras empresas extranjeras para sus necesidades de Internet.

El efecto neto es “en realidad crear un nuevo programa federal de aprobaciones condicionales” para empresas extranjeras de enrutadores, dijo el alumno de la FCC, uno que es tan amplio que requeriría un esfuerzo federal combinado masivo para eliminar efectivamente a los malos actores de la cadena de suministro extranjera.

«Me cuesta creer que esta administración -dado lo que hemos visto en CISA y otras agencias y las salidas masivas- realmente implementará un programa sofisticado y personalizado para abordar adecuadamente este tipo de enorme oscilación de toda una base de productos de consumo», dijo el funcionario, a quien se le concedió el anonimato para hablar con franqueza.

El funcionario señaló un intento a principios de este año por parte de la administración, a través de la Administración Federal de Aviación, de hacer valer una amplia autoridad para regular los vuelos de drones en todo el país, diciendo que había paralelos similares de «grandes cambios» con la justificación legal aquí. Actualmente se está prohibiendo los drones desafiado en la cortey el funcionario dijo que esperan que el pedido de enrutadores de la FCC esté sujeto a demandas similares por parte de empresas.

A principios de este mes, Carr también propuso nuevas regulaciones que impondrían requisitos de idioma inglés a los centros de llamadas en el extranjero y pidió al público información sobre posibles políticas para «alentar» a las empresas a establecer centros de llamadas en los EE. UU., «incluidos límites al volumen de llamadas de los centros de llamadas en el extranjero».

Carr dijo que la FCC también estaba «abriendo un nuevo frente en nuestros esfuerzos por bloquear las llamadas automáticas ilegales desde el extranjero al examinar el uso específico de aranceles o bonos».

El ex funcionario de la FCC dijo que la prioridad de Carr sobre la aplicación novedosa de autoridades arancelarias mientras discutía la implementación de dos leyes: la Ley rastreada y el Ley de verdad en el identificador de llamadas – que no están relacionados con el comercio hace imposible separar las preocupaciones genuinas de seguridad nacional de la agencia de los intentos más amplios de la administración Trump de ganar influencia sobre las empresas extranjeras en sus luchas comerciales.

«Esos son saltos aleatorios extraños que parecen ser una respuesta a este panorama más amplio de la gran decisión arancelaria que surgió», dijo el funcionario.