{"id":653,"date":"2026-04-23T17:21:04","date_gmt":"2026-04-23T17:21:04","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/el-proyecto-glasswing-demostro-que-la-ia-puede-encontrar-los-errores-quien-va-a-arreglarlos-cyberdefensa-mx\/"},"modified":"2026-04-23T17:21:04","modified_gmt":"2026-04-23T17:21:04","slug":"el-proyecto-glasswing-demostro-que-la-ia-puede-encontrar-los-errores-quien-va-a-arreglarlos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/el-proyecto-glasswing-demostro-que-la-ia-puede-encontrar-los-errores-quien-va-a-arreglarlos-cyberdefensa-mx\/","title":{"rendered":"El proyecto Glasswing demostr\u00f3 que la IA puede encontrar los errores. \u00bfQui\u00e9n va a arreglarlos? \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>La semana pasada, Anthropic anunci\u00f3 el Proyecto Glasswing, un modelo de inteligencia artificial tan eficaz para descubrir vulnerabilidades de software que tomaron la extraordinaria medida de posponer su lanzamiento p\u00fablico. En cambio, la empresa ha dado acceso a Apple, Microsoft, Google, Amazon y una coalici\u00f3n de otros para <strong>encontrar y corregir errores antes de que los adversarios puedan<\/strong>.<\/p>\n<p>Mythos Preview, el modelo que condujo al Proyecto Glasswing, <strong>encontr\u00f3 vulnerabilidades en todos los principales sistemas operativos y navegadores.<\/strong> Algunos de estos errores hab\u00edan sobrevivido d\u00e9cadas de auditor\u00edas humanas, confusi\u00f3n agresiva y escrutinio de c\u00f3digo abierto. uno hab\u00eda sido <strong>sentado durante 27 a\u00f1os <\/strong>en OpenBSD, generalmente considerado como uno de los sistemas operativos m\u00e1s seguros del mundo.<\/p>\n<p>Es tentador archivar esto bajo \u00ab<strong>El laboratorio de IA dice que su IA es demasiado peligrosa.<\/strong>\u00bb el mismo manual de estrategias que OpenAI ejecut\u00f3 con GPT-2. <\/p>\n<p>No tan r\u00e1pido; Esta vez hay una diferencia material. <\/p>\n<p>Mythos no s\u00f3lo encontr\u00f3 CVE individuales. <\/p>\n<ul>\n<li>\u00c9l <strong>encaden\u00f3 cuatro errores independientes en una secuencia de explotaci\u00f3n<\/strong> que omiti\u00f3 tanto el renderizador del navegador como el sandboxing del sistema operativo<\/li>\n<li>Realiz\u00f3 una escalada de privilegios locales en Linux a trav\u00e9s de condiciones de carrera.<\/li>\n<li>Construy\u00f3 una cadena ROP de 20 dispositivos dirigidos al servidor NFS de FreeBSD, distribuidos en paquetes.<\/li>\n<\/ul>\n<p>Claude Opus 4.6, el modelo de frontera anterior de Anthropic, fall\u00f3 casi por completo en el desarrollo aut\u00f3nomo de exploits.<strong>Mythos alcanz\u00f3 una tasa de \u00e9xito del 72,4% en el shell Firefox JS<\/strong>.<\/p>\n<p>Esto no es te\u00f3rico ni una nueva predicci\u00f3n de tres a cinco a\u00f1os. Esto est\u00e1 a punto de ser una realidad de la ingenier\u00eda en el mundo real.<\/p>\n<h2><strong>Por qu\u00e9 el Proyecto Glasswing expone la verdadera brecha de ciberseguridad<\/strong><\/h2>\n<p>Aqu\u00ed est\u00e1 la cifra que deber\u00eda mantener despiertos a los l\u00edderes de seguridad por la noche: <strong>menos del 1% de las vulnerabilidades encontradas por Mythos fueron parcheadas<\/strong>.<\/p>\n<p>Dejemos que eso se asimile por un momento. <\/p>\n<p>El motor de descubrimiento de vulnerabilidades m\u00e1s potente jam\u00e1s creado se ejecut\u00f3 contra el software m\u00e1s cr\u00edtico del mundo y el ecosistema no pudo absorber el resultado. <\/p>\n<p>Glasswing resolvi\u00f3 el problema de b\u00fasqueda. <\/p>\n<p>Nadie resolvi\u00f3 el problema de la reparaci\u00f3n.<\/p>\n<h3><strong>Por qu\u00e9 los defensores no pueden seguir el ritmo: velocidad del calendario versus velocidad de la m\u00e1quina<\/strong><\/h3>\n<p>Este es el problema estructural que la industria de la ciberseguridad ha estado dando vueltas durante a\u00f1os. La IA simplemente hizo que fuera imposible ignorarlo. <\/p>\n<p>Los defensores operan <strong>velocidad del calendario<\/strong>. Ellos: <\/p>\n<ul>\n<li>Reunir inteligencia <\/li>\n<li>Construye una campa\u00f1a<\/li>\n<li>Simular las amenazas <\/li>\n<li>Mitigar <\/li>\n<li>Repetir<\/li>\n<\/ul>\n<p>Ese ciclo dura aproximadamente <strong>cuatro d\u00edas en un buen d\u00eda<\/strong>. Los atacantes, especialmente aquellos que ahora aprovechan los LLM en cada etapa de su operaci\u00f3n, son <strong>movi\u00e9ndose a la velocidad de la m\u00e1quina<\/strong>. <\/p>\n<p>Para obtener informaci\u00f3n actualizada, David B. Cross, CISO de Atlassian, hablar\u00e1 en el <a href=\"https:\/\/hubs.li\/Q04cJdmF0\">Cumbre de Validaci\u00f3n Auton\u00f3mica el 12 de mayo<\/a> sobre c\u00f3mo se ve esto desde adentro, por qu\u00e9 las pruebas peri\u00f3dicas no pueden seguir el ritmo de los adversarios que operan de forma aut\u00f3noma y qu\u00e9 deber\u00edan hacer los defensores en su lugar.<\/p>\n<h3><strong>Los ataques impulsados \u200b\u200bpor IA ya son aut\u00f3nomos<\/strong><\/h3>\n<p>A principios de este a\u00f1o, un actor de amenazas despleg\u00f3 <strong>un servidor MCP personalizado que aloja un LLM como parte de su cadena de ataque<\/strong> contra electrodom\u00e9sticos FortiGate. <\/p>\n<p>La IA se encarg\u00f3 de todo: <\/p>\n<ul>\n<li>Creaci\u00f3n automatizada de puerta trasera<\/li>\n<li>Mapeo de infraestructura interna alimentado directamente al modelo.<\/li>\n<li>Evaluaci\u00f3n aut\u00f3noma de vulnerabilidad, y <\/li>\n<li>Ejecuci\u00f3n priorizada por IA de herramientas ofensivas para el acceso de administrador de dominio. <\/li>\n<\/ul>\n<p>\u00bfEl resultado? <strong>2.516 organizaciones en 106 pa\u00edses se vieron comprometidas<\/strong> en paralelo. Toda la cadena, desde el acceso inicial hasta el volcado de credenciales y la exfiltraci\u00f3n de datos, era aut\u00f3noma. La \u00fanica participaci\u00f3n humana fue revisar los resultados despu\u00e9s.<\/p>\n<h3><strong>El descubrimiento de vulnerabilidades basado en IA est\u00e1 superando la soluci\u00f3n<\/strong><\/h3>\n<p>La brecha entre la velocidad del atacante y la velocidad del defensor no es nueva. <\/p>\n<p><strong>La novedad es que una peque\u00f1a pero preocupante brecha acaba de convertirse en un ca\u00f1\u00f3n. <\/strong><\/p>\n<ul>\n<li>Sistemas aut\u00f3nomos como AISLE <a href=\"https:\/\/aisle.com\/blog\/aisle-discovered-12-out-of-12-openssl-vulnerabilities\">descubierto<\/a> 13 de 14 CVE de OpenSSL en versiones coordinadas recientes, errores que hab\u00edan sobrevivido a a\u00f1os de revisi\u00f3n humana. <\/li>\n<li>XBOW se convirti\u00f3 en el <a href=\"https:\/\/xbow.com\/blog\/top-1-how-xbow-did-it\">mejor clasificado<\/a> hacker en HackerOne en 2025, superando a todos los participantes humanos.<\/li>\n<li>El tiempo medio desde la divulgaci\u00f3n hasta el ataque armado <a href=\"https:\/\/www.resilientcyber.io\/p\/the-zero-day-clock-is-ticking-why\">abandon\u00f3<\/a> de 771 d\u00edas en 2018 a horas de un solo d\u00edgito en 2024.<\/li>\n<li>Para 2025, la mayor\u00eda de los exploits se utilizar\u00e1n como armas. <em>antes<\/em> siendo divulgada p\u00fablicamente.<\/li>\n<\/ul>\n<p><strong>Ahora agregue el descubrimiento de clase Mythos a esta imagen. <\/strong><\/p>\n<p>No se obtiene autom\u00e1ticamente un mundo m\u00e1s seguro. Obtienes un <strong>Tsunami de hallazgos leg\u00edtimos que a\u00fan requieren verificaci\u00f3n humana<\/strong>procesos organizacionales, consideraciones de continuidad del negocio y ciclos de parches que no han cambiado fundamentalmente en una d\u00e9cada.<\/p>\n<h2><strong>C\u00f3mo crear un programa de seguridad preparado para Mythos<\/strong><\/h2>\n<p>El instinto despu\u00e9s de Glasswing es preguntar: \u00ab\u00bfC\u00f3mo encontramos m\u00e1s errores?\u00bb <\/p>\n<p>En realidad, esa es la pregunta equivocada.<\/p>\n<p>La correcta es: \u00abCuando miles de vulnerabilidades explotables lleguen a su escritorio ma\u00f1ana por la ma\u00f1ana, <strong>\u00bfPuede su programa realmente procesarlos?<\/strong>\u00ab<\/p>\n<p>Para la mayor\u00eda de las organizaciones, la respuesta honesta es no. Y la raz\u00f3n no es la falta de herramientas o talento; es estructural <strong>dependencia de peri\u00f3dicos<\/strong>, <strong>procesos iniciados por el hombre<\/strong> que fueron dise\u00f1ados para un mundo donde las vulnerabilidades aparecieron lentamente, no uno donde llegaron en forma de tsunami.<\/p>\n<p>No podemos solucionar todas las vulnerabilidades. No podemos aplicar todas las opciones de endurecimiento. <\/p>\n<blockquote>\n<p><strong>Eso no es derrotismo<\/strong>ese es el punto de partida pragm\u00e1tico para cualquier programa de seguridad que realmente funcione. La pregunta que importa no es \u00ab\u00bfes este CVE cr\u00edtico?\u00bb pero \u00ab<strong>\u00bfSe puede explotar esta vulnerabilidad en mi entorno en este momento, teniendo en cuenta lo que he implementado?<\/strong>\u00ab<\/p>\n<\/blockquote>\n<p><a href=\"https:\/\/www.picussecurity.com\/resource\/report\/surviving-the-post-mythos-era-12-actions-to-validate-your-defenses-before-july\">Un programa de seguridad preparado para Mythos <\/a>Necesita tres piezas fundamentales.<\/p>\n<h3><strong>Primero: validaci\u00f3n basada en se\u00f1ales sobre pruebas programadas<\/strong><\/h3>\n<p>Cuando surge una nueva amenaza, cuando cambia un activo o cuando una configuraci\u00f3n cambia, es necesario proteger las defensas. <strong>probado contra ese cambio espec\u00edfico en ese momento.<\/strong> No durante el pr\u00f3ximo pentest trimestral. No cuando alguien puede encontrar un espacio libre en el calendario. <\/p>\n<p>Todo el concepto de \u00abvalidaci\u00f3n programada\u00bb supone un panorama de amenazas estable y, hoy en d\u00eda, eso <strong>la suposici\u00f3n est\u00e1 muerta al llegar<\/strong>.<\/p>\n<h3><strong>Segundo: contexto ambiental espec\u00edfico sobre puntuaciones CVSS gen\u00e9ricas<\/strong><\/h3>\n<p>Glasswing producir\u00e1 una avalancha de CVE. <\/p>\n<p>Sin embargo, la mayor\u00eda de los programas de gesti\u00f3n de vulnerabilidades todav\u00eda tienen prioridad seg\u00fan las puntuaciones CVSS. Esta m\u00e9trica libre de contexto le indica qu\u00e9 tan grave es un error. <em>podr\u00eda ser en teor\u00eda<\/em>no si <em>es explotable en su infraestructura espec\u00edfica<\/em>dados sus controles y riesgo comercial.<\/p>\n<p>Cuando el volumen de hallazgos pasa repentinamente de <strong>cientos a miles<\/strong>la priorizaci\u00f3n libre de contexto no s\u00f3lo lo ralentizar\u00e1; <strong>romper\u00e1 tu proceso por completo<\/strong>.<\/p>\n<h3><strong>Tercero: Remediaci\u00f3n de circuito cerrado sin transferencia manual<\/strong><\/h3>\n<p>El modelo actual no puede sobrevivir en un mundo donde los adversarios explotan los CVE a las pocas horas de su divulgaci\u00f3n. Ya conoces el ejercicio:<\/p>\n<ul>\n<li>El esc\u00e1ner encuentra un error<\/li>\n<li>El analista lo clasifica<\/li>\n<li>El billete va a otro equipo.<\/li>\n<li>Alguien lo parchea semanas despu\u00e9s<\/li>\n<li>Nadie revalida<\/li>\n<\/ul>\n<p>Esa cadena de transferencias manuales es exactamente donde el sistema se desintegra. Si el ciclo desde la b\u00fasqueda hasta la revalidaci\u00f3n no puede ejecutarse sin que los humanos transfieran los tickets entre las colas, claramente no se est\u00e1 ejecutando ni cerca de la velocidad de la m\u00e1quina.<\/p>\n<p>No se trata de comprar m\u00e1s herramientas. Se trata de que los defensores aprovechen su <strong>una ventaja asim\u00e9trica<\/strong>: conoce la topolog\u00eda de su organizaci\u00f3n, <strong>los atacantes no<\/strong>. <\/p>\n<p>Esa es una ventaja significativa, <strong>pero s\u00f3lo si puedes actuar a la velocidad de una m\u00e1quina. <\/strong><\/p>\n<h2><strong>C\u00f3mo la validaci\u00f3n de la exposici\u00f3n aut\u00f3noma cierra la brecha y d\u00f3nde entra en juego Picus<\/strong><\/h2>\n<p>Esta es la parte en la que ser\u00e9 realmente transparente sobre qui\u00e9n escribe esto. <\/p>\n<p>En Picus Security construimos una plataforma para <strong>Validaci\u00f3n de exposici\u00f3n aut\u00f3noma<\/strong>. Entonces, para ser revelador, tengo una perspectiva aqu\u00ed que viene con un sesgo inherente. T\u00f3malo en consecuencia.<\/p>\n<p>Lo que Glasswing cristaliz\u00f3 para nosotros, y para muchos de los CISO con los que hemos estado hablando, es que el<strong> paso de validaci\u00f3n<\/strong> dentro de cualquier <strong>programa de gesti\u00f3n de exposici\u00f3n<\/strong> acaba de convertirse en el cuello de botella m\u00e1s cr\u00edtico. <\/p>\n<ul>\n<li>Encontrar vulnerabilidades est\u00e1 a punto de volverse radicalmente m\u00e1s f\u00e1cil y eficiente <\/li>\n<li>Parcharlos seguir\u00e1 siendo dolorosamente lento.<\/li>\n<\/ul>\n<p>La \u00fanica palanca que puedes tirar en el medio es <strong>saber cu\u00e1les realmente importan<\/strong> a su entorno. Eso es validaci\u00f3n.<\/p>\n<h3><strong>De cuatro d\u00edas a tres minutos: c\u00f3mo los flujos de trabajo agentes cambian el ciclo<\/strong><\/h3>\n<p>Creamos Picus Swarm, el equipo de inteligencia artificial que impulsa la validaci\u00f3n aut\u00f3noma en tiempo real, para comprimir el ciclo tradicional de cuatro d\u00edas en minutos. <\/p>\n<p>Es un conjunto de agentes de IA que trabajan juntos para hacer lo que sol\u00eda requerir transferencias entre cuatro equipos separados: <\/p>\n<ul>\n<li>A <strong>agente investigador<\/strong> ingiere y examina la inteligencia sobre amenazas. <\/li>\n<li>A <strong>agente del equipo rojo <\/strong>lo mapea con su entorno para generar un manual de estrategias para atacantes con control de seguridad. <\/li>\n<li>A <strong>agente simulador <\/strong>se ejecuta en sus puntos finales reales y en la nube, recopilando telemetr\u00eda y datos de prueba. <\/li>\n<li>A<strong> agente coordinador<\/strong> une los hallazgos con la remediaci\u00f3n, la apertura de tickets, la activaci\u00f3n de libros de jugadas SOAR, el env\u00edo de indicadores de ataque a su EDR y la revalidaci\u00f3n despu\u00e9s de que se solucionen los problemas.<\/li>\n<\/ul>\n<p>Cada acci\u00f3n es rastreable y auditable, y cada agente opera dentro de las barreras de seguridad que usted defina.<\/p>\n<p>Toda la cadena, desde una nueva alerta CISA hasta hallazgos validados y listos para remediar, se ejecuta en aproximadamente tres minutos. <\/p>\n<blockquote>\n<p>cuando un <strong>El modelo de clase Mythos arroja miles de hallazgos<\/strong> en su organizaci\u00f3n, necesita algo que pueda indicarle inmediatamente <strong>cu\u00e1les de estos son explotables en su entorno. <\/strong>\u00bfQu\u00e9 controles se mantendr\u00edan, cu\u00e1les fallar\u00edan y cu\u00e1l es la soluci\u00f3n espec\u00edfica del proveedor? <\/p>\n<\/blockquote>\n<h2><strong>La inc\u00f3moda verdad<\/strong><\/h2>\n<p>El Proyecto Glasswing se medir\u00e1 con una m\u00e9trica: cu\u00e1ntas vulnerabilidades se parchean antes de ser explotadas. No cu\u00e1ntos se encuentran, ni cu\u00e1n impresionantes son las cadenas de exploits, sino si el ecosistema puede digerir lo que la IA est\u00e1 a punto de producir.<\/p>\n<p>La visibilidad por s\u00ed sola nunca ha sido suficiente: el 83% de los programas de ciberseguridad a\u00fan no muestran resultados mensurables. Lo que est\u00e1 cambiando la ecuaci\u00f3n es <strong>cerrando la brecha entre ver y probar:<\/strong> saber si una posible vulnerabilidad <strong>realmente comprometer\u00eda su entorno.<\/strong><\/p>\n<p>Eso es validaci\u00f3n.<\/p>\n<p>Y en un mundo posterior a Glasswing, es lo \u00fanico que se interpone entre una avalancha de descubrimientos y una avalancha de brechas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/hubs.li\/Q04cJdmF0\" style=\"clear: left; cursor: pointer; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgKHpFZNH-Ek72Ur-O89n5p6p5a4WoMoh9Wphnkqdf79P0PfQs6Q_Qsx_0qFcC9qubPoTe3wprZKk23AxTPsLQaG0f16dO07t1P1idOv8-fZtmTdHZbpwnn2uPDG1mKxAi-0Fhj-fT-IQsQ2posCTu0frZS7kjGpTDERNO6rZ1xz7nXb36I6r0PHsP_zTE\/s1700-e365\/picus-webinar.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/a><\/div>\n<p><em>Celebraremos la Cumbre de Validaci\u00f3n Aut\u00f3noma los d\u00edas 12 y 14 de mayo con Frost &amp; Sullivan, en la que participar\u00e1n profesionales de Kraft Heinz y Glow Financial Services, junto con nuestro CTO, Volkan Erturk. Juntos, profundizaremos en este problema espec\u00edfico. <\/em><\/p>\n<p><em><a href=\"https:\/\/hubs.li\/Q04cJdmF0\"><span style=\"font-size: large;\">&gt;&gt; Reg\u00edstrate aqu\u00ed.<\/span><\/a><\/em><\/p>\n<p><em>Nota: Este art\u00edculo fue escrito por <a href=\"https:\/\/www.linkedin.com\/in\/silaozeren\/\">S\u0131la \u00d6zeren Hac\u0131o\u011flu<\/a>Ingeniero de Investigaci\u00f3n de Seguridad en Picus Security.<\/em><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a href=\"https:\/\/news.google.com\/publications\/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ\" rel=\"noopener\" target=\"_blank\">noticias de google<\/a>, <a href=\"https:\/\/twitter.com\/thehackersnews\" rel=\"noopener\" target=\"_blank\">Gorjeo<\/a> y <a href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" rel=\"noopener\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La semana pasada, Anthropic anunci\u00f3 el Proyecto Glasswing, un modelo de inteligencia artificial tan eficaz para descubrir vulnerabilidades de software que tomaron la extraordinaria medida de posponer su lanzamiento p\u00fablico. En cambio, la empresa ha dado acceso a Apple, Microsoft, Google, Amazon y una coalici\u00f3n de otros para encontrar y corregir errores antes de que [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":654,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[2058,24,2057,1957,1139,2056,52,2029,82,987],"class_list":["post-653","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-arreglarlos","tag-cyberdefensa-mx","tag-demostro","tag-encontrar","tag-errores","tag-glasswing","tag-los","tag-proyecto","tag-puede","tag-quien"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=653"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/653\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/654"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}