El enemigo que no duerme: cuando la inteligencia artificial puede convertir el hacking en una guerra híbrida permanente

digitado ⋅ 26 de June de 2026

IMAGE: A giant hooded AI figure made of code looms over a vulnerable city, while warning symbols and digital attack streams suggest automated cyber threats targeting critical infrastructure

Durante años, la ciberseguridad se apoyó en una ficción cómoda: atacar sistemas complejos exigía talento, tiempo, paciencia y conocimiento profundo. Un atacante avanzado era escaso, caro y limitado por una variable humana: el cansancio. Había que leer código, entender arquitecturas, probar hipótesis y volver a empezar. Esa fricción nunca garantizó la seguridad, pero mantenía un cierto equilibrio.

Ese equilibrio se está rompiendo. No porque haya aparecido una inteligencia artificial malvada, sino porque la búsqueda de vulnerabilidades empieza a dejar de depender de la paciencia humana. Un modelo no se aburre, no se frustra, no se duerme, no abandona un repositorio mal documentado ni se cansa de mirar la misma función desde cien ángulos distintos. Puede fallar miles de veces y seguir intentando combinaciones hasta encontrar una grieta. La paciencia infinita es una de las propiedades más inquietantes de la automatización.

Por eso modelos como Claude Mythos importan mucho más allá de su nombre concreto. Anthropic presentó Project Glasswing como una forma de dar a organizaciones críticas una ventaja defensiva mediante Claude Mythos Preview. Tiene sentido: si un modelo puede encontrar vulnerabilidades antes que los atacantes, conviene usarlo para corregirlas. Pero esa misma capacidad es también ofensiva. La herramienta que descubre una puerta para cerrarla puede descubrirla para explotarla. La frontera no está en el modelo, sino en quién lo usa y con qué incentivos. De hecho, China ya afirma tener preparadas sus herramientas para contrarrestar a Mythos.

La advertencia de Five Eyes en The Guardian, «AI models capable of devastating attacks on governments and business months away, rare Five Eyes statement warns« debe leerse así: no como una profecía apocalíptica, sino como la constatación de que el reloj se ha acelerado. Cuando las agencias de inteligencia dicen que el horizonte no son años, sino meses, admiten que el supuesto monopolio occidental de estas capacidades puede durar muy poco. El AI Security Institute británico observó mejoras significativas de Claude Mythos Preview en captura de bandera y ataques multietapa. No es lo mismo que comprometer una infraestructura crítica bien defendida, pero lo que hoy funciona en un entorno controlado mañana aparece en herramientas accesibles.

Google Threat Intelligence Group ya ha descrito esa transición hacia una industrialización del ataque, con adversarios que usan inteligencia artificial para explotación de vulnerabilidades y acceso inicial. No hace falta creer en máquinas omnipotentes. Basta con observar la caída del coste marginal. El atacante ya no necesita ser un genio: le basta con formular objetivos, encadenar herramientas y dejar que el sistema trabaje.

Pensar que detener Mythos resuelve el problema es como intentar contener el caudal de un río con las manos. Se puede ralentizar o clasificar temporalmente un modelo, pero la capacidad se desplazará a otros modelos, otros países y, tarde o temprano, a versiones abiertas. Bruce Schneier lo planteó en su análisis sobre Fable: el problema no es un producto aislado, sino la tendencia general de aumento de capacidades. La orden ejecutiva de la Casa Blanca sobre innovación y seguridad en inteligencia artificial avanzada confirma esa lectura: los modelos de frontera ya se tratan como tecnología estratégica, no como simple software.

Para Europa, la conclusión es incómoda. Depender de modelos estadounidenses para defender bancos, hospitales, redes energéticas o administraciones públicas no es una estrategia: es subordinación. Si el acceso a capacidades críticas puede condicionarse desde Washington, la soberanía tecnológica europea es más discurso que realidad.

La guerra híbrida que viene no será necesariamente un gran apagón cinematográfico. Será algo más viscoso: intentos constantes sobre proveedores pequeños, ayuntamientos, hospitales, universidades, cadenas de suministro, bibliotecas olvidadas, firmware abandonado y sistemas industriales obsoletos. No hará falta destruirlo todo. Bastará con degradar la confianza, aumentar el coste de operar, manipular datos y obligar a defenderlo todo, todo el tiempo. La investigación académica, con benchmarks como ExploitGym, apunta en la misma dirección: aunque explotar vulnerabilidades sigue siendo difícil, los modelos de frontera ya logran resultados no triviales. En ciberseguridad, con eso basta.

La defensa tendrá que usar inteligencia artificial para sobrevivir a la inteligencia artificial. Como señala BCG al hablar de ciberseguridad a la velocidad de la inteligencia artificial, el reto no es solo tecnológico, sino organizativo. Saber qué sistemas tienes, qué dependencias usas, quién accede a qué, qué puedes aislar y qué puedes recuperar dejará de ser una auditoría ocasional para convertirse en una función continua.

La pregunta no es si Mythos debe darnos miedo. La pregunta es si nuestras instituciones están preparadas para un mundo en el que buscar vulnerabilidades se convierte en una actividad permanente, automatizada y distribuida. La respuesta honesta es que no. Seguimos pensando en murallas cuando deberíamos pensar en sistemas inmunológicos. Seguimos intentando prohibir el río cuando deberíamos rediseñar la ciudad para convivir con la crecida. El río ya está bajando, y la cuestión es quién construirá diques, quién seguirá vendiendo paraguas y quién descubrirá demasiado tarde que vive en zona inundable.

This article is also available in English on my Medium page, «The future of cybersecurity is AI against AI»

Like 0

Liked Liked