Los mitos importan. Es un importante paso adelante en el descubrimiento de vulnerabilidades asistido por IA. Pero esto no significa que la ciberseguridad haya cambiado de la noche a la mañana, ni que las empresas se enfrenten repentinamente mañana a una explotación totalmente automatizada a escala de Internet.

Significa que el lado ofensivo de la IA sigue mejorando. El lado defensivo necesita ponerse al día ahora.

Mythos es el último paso de una tendencia más larga. Durante los próximos años, se espera que se repita el mismo patrón: progreso incremental, luego un salto; progreso incremental, luego un salto. Los modelos serán más capaces y más baratos con cada ciclo, y cada salto ejercerá más presión sobre los equipos de seguridad que aún operan a velocidad humana.

Mythos demostró que la IA puede encontrar vulnerabilidades de software con una profundidad sin precedentes. Se trata de un progreso real y debe tomarse en serio. Sin embargo, este no fue un caso en el que la IA de repente hizo que los compromisos empresariales fueran baratos, fáciles o automáticos. Incluso en los propios ejemplos de Anthropic, el costo de descubrir una vulnerabilidad crítica fue significativo. Un ejemplo citó aproximadamente 20.000 dólares en costos de tokens para identificar un problema importante de OpenBSD.

Mythos hizo que el descubrimiento de vulnerabilidades fuera más barato de escalar al reemplazar los cuerpos con dólares. Pero encontrar una vulnerabilidad es sólo una parte de la realidad operativa.

Un atacante todavía tiene que determinar si esa vulnerabilidad es explotable en una empresa específica, identificar una ruta de ataque viable, obtener el acceso necesario y poner en funcionamiento con éxito el exploit en un entorno real. Nada de eso se volvió fácil simplemente porque un modelo encontró un error de software.

Y en el lado defensivo, Mythos aún no resuelve el problema empresarial mucho más difícil: ¿Cómo sé si esta vulnerabilidad es realmente explotable en mi entorno y cuál es la forma más eficiente de remediarla sin arruinar el negocio?

El verdadero problema empresarial no es el descubrimiento. Es priorización y acción. Los líderes de seguridad no luchan sólo porque existen vulnerabilidades. Luchan porque el costo operativo de decidir qué importa, qué es explotable, qué puede esperar y qué puede arreglarse de manera segura es enorme.

Si una gran empresa se entera de que se ha encontrado una vulnerabilidad crítica en un software ampliamente utilizado, el siguiente paso no es mágico. Es una dolorosa cadena de preguntas operativas centradas en dónde ejecutan el software, qué versión es, si existe una ruta de ataque realista y muchas más.

Mythos deja prácticamente sin cambios el costo defensivo de responder esas preguntas dentro de una empresa real. La lección correcta es la preparación.

Uno de los errores que suele cometer el mercado con la IA es asumir que cada nueva capacidad llega en el momento en que todo cambia. Lo correcto es comenzar ahora con sistemas de IA defensivos que sean útiles hoy y estén preparados para mejorar con el tiempo. Para la mayoría de las empresas, eso significa buscar productos de IA que ayuden a mejorar la investigación de alertas, la búsqueda de amenazas y la gestión de vulnerabilidades, que ofrezcan capacidades de auditoría completas, se conecten a los datos y razones empresariales para proporcionar un contexto organizacional y evolucionen a medida que madura el panorama del modelo.

El objetivo es sentar las bases operativas ahora para un futuro en el que una mayor parte del trabajo pueda automatizarse de forma segura.

Hoy en día, los defensores necesitan sistemas que permitan a los humanos seguir involucrados mientras la máquina les ayuda a escalar. Con el tiempo, esa participación cambiará. Los analistas dedicarán menos tiempo a realizar trabajos repetitivos y más tiempo a orquestar, revisar y mejorar la forma en que se realiza el trabajo automatizado.

Con el tiempo, algunos flujos de trabajo deberán revisarse de forma masiva en lugar de una acción a la vez. Cuando la respuesta avanza a la velocidad de una máquina, es posible que un humano no apruebe cada acción correctiva individual. En cambio, necesitarán una vista del centro de control sobre los patrones: qué hizo el sistema hoy, qué funcionó, qué no y qué debería ajustarse mañana.

Se trata de un futuro muy distinto de la idea simplista de “reemplazar al analista”.

El verdadero futuro es aquel en el que los humanos pasen de realizar todas las tareas manualmente a supervisar sistemas, dar forma a políticas, revisar patrones y controlar cómo operan agentes cada vez más capaces.

El mito es una advertencia. No porque eso signifique que el cielo se está cayendo. Porque muestra hacia dónde se dirige el lado ofensivo. Los defensores deben actuar en consecuencia y con urgencia.

Alex Thaman es el director de tecnología de Andesite. Durante más de 20 años de carrera, Alex ha sido líder de ingeniería en Microsoft, Unity Software y Scale AI.