"Descubrimiento de Zero-Day con IA: ¿El Riesgo Cibernético es Real o Puro Marketing?"

"## Descubrimiento de Zero-Day con IA: ¿El Riesgo Cibernético es Real o Puro Marketing?\n\nGeorge Hotz lanzó una granada al debate de seguridad en IA la semana pasada. Un tweet. Cuarenta y seis palabras. Y un desafío tan preciso que de repente hizo ver un poco ridículo a cada deck de marketing de ciberseguridad en Silicon Valley.\n\n"¿Qué tal si publico un zero-day por día hasta que salga un nuevo modelo importante? ¿Esto finalmente hará que OpenAI y Anthropic se callen sobre el 'riesgo de ciberseguridad'?"\n\nLo leí tres veces. Luego abrí mis notas de la semana anterior — cuando Anthropic había anunciado Claude Mythos Preview, declarado una tasa de éxito del 83.1% en el benchmark de vulnerabilidades CyberGym, y decidido no lanzar el modelo públicamente porque era "demasiado peligroso". Estaba redactando un artículo sobre lo que eso significaba para la seguridad defensiva. El tweet de Hotz me hizo tirar todo el borrador y empezar de cero.\n\nPorque aquí está la cuestión. He pasado años en ambos lados de esta ecuación. Construyo sistemas de automatización con IA a diario — agentes de Claude Code ejecutándose en proyectos de clientes, Opus 4.6 como mi modelo principal de programación, toda la pila completa. También hago trabajo de seguridad. He auditado despliegues de WordPress, aplicaciones Laravel y más políticas de AWS IAM de las que quisiera recordar. He escrito herramientas similares a pruebas de penetración. Sé exactamente cómo se ve encontrar un zero-day real versus cómo se ve encontrar uno en una demo.\n\nY tras dos semanas siguiendo este debate — Anthropic reclamando un riesgo existencial en ciberseguridad, Hotz diciendo que es teatro — he llegado a una posición que no le va a gustar a ninguno de los dos bandos.\n\nAmbos tienen parcialmente la razón. Y la parte de la que nadie está hablando es la que realmente importa.\n\nDéjenme explicarlo.\n\n## Lo que Anthropic Realmente Afirmó (y Por Qué Captó la Atención de Todos)\n\nAntes de llegar a la crítica, establezcamos los hechos. Porque gran parte de la conversación en línea se basa en intuiciones, no en el anuncio real.\n\nEl 8 de abril de 2026, Anthropic publicó dos cosas simultáneamente. La primera fue una vista previa de investigación de Claude Mythos Preview — un modelo de frontera no lanzado al público que describieron como un "cambio radical" en el descubrimiento autónomo de vulnerabilidades. La segunda fue Project Glasswing — un programa para dirigir las capacidades de Mythos Preview hacia la seguridad defensiva, trabajando con un pequeño grupo de socios seleccionados y mantenedores de código abierto.\n\nEl número titular: 83.1% de tasa de éxito en CyberGym, frente al 66.6% de su mejor modelo anterior. CyberGym es un benchmark que mide el descubrimiento autónomo de vulnerabilidades de software reales. No bugs de juguete. No desafíos sintéticos de CTF. CVEs reales en bases de código reales.\n\nEl ejemplo que dejó helados a todos los investigadores de seguridad: Mythos Preview encontró una vulnerabilidad de 16 años en FFmpeg — la librería de la que depende absolutamente todo el software de video del mundo — en una línea de código que las herramientas de fuzzing automatizadas habían ejecutado cinco millones de veces sin detectarla. También encadenó de forma autónoma múltiples vulnerabilidades del kernel de Linux para escalar desde un acceso de usuario ordinario hasta el control root completo de una máquina.\n\nEl planteamiento de Anthropic fue inequívoco: "Los modelos de IA han alcanzado un nivel de capacidad de programación donde pueden superar a todos menos a los humanos más hábiles para encontrar y explotar vulnerabilidades de software."\n\nLuego no lanzaron el modelo. Despliegue limitado únicamente. Socios aprobados bajo Project Glasswing. Los desarrolladores y startups en general no tienen acceso.\n\nEsa decisión — la restricción, no la capacidad — es a lo que respondió Hotz. Y su respuesta es donde esto se pone interesante.\n\n## La Crítica de Hotz: La Escasez es una Decisión de Política, No un Límite Técnico\n\nEl argumento de Hotz, despojado de la fanfarronería de Twitter, se reduce a una afirmación: las vulnerabilidades de software en realidad no son escasas. Están en todas partes. Están en el firmware de tu router, en tu smart TV, en tu stack de Bluetooth, en el motor de JavaScript que renderiza esta entrada de blog. Lo que es escaso son las personas con el permiso legal, el tiempo y el incentivo económico para divulgarlas públicamente.\n\n"¿Quieren que se encuentren más zero-days?", dijo. "Legalicen el hacking. Hasta entonces, no intenten decir que es difícil — simplemente no está incentivado."\n\nQuiero refutar esto antes de estar de acuerdo con la parte que tiene razón. Porque Hotz es George Hotz. Hizo jailbreak al iPhone cuando tenía 17 años. Hizo ingeniería inversa de la PlayStation 3 antes de que Sony lo demandara. Entrena modelos de conducción autónoma en Comma.ai. El investigador de seguridad promedio no es George Hotz. Decir "los zero-days son fáciles" cuando eres una de quizás doscientas personas en el mundo con tu perfil específico de habilidades es un poco como Tiger Woods diciendo que el golf no es difícil.\n\nPero.\n\nEl punto estructural se sostiene. Lo he visto en mi propio trabajo. Cuando hago una revisión de seguridad para un cliente, no estoy limitado por mi capacidad para encontrar bugs — estoy limitado por el tiempo, el alcance y la cobertura legal. Un compromiso típico de prueba de penetración dura dos semanas. En esas dos semanas, encontraré más problemas de los que el cliente puede parchear en dos meses. Si tuviera tres meses y sin límites de alcance, encontraría un orden de magnitud más. Eso no es un descubrimiento especial. Eso es lo que cualquier pentester en ejercicio con quien haya hablado te dirá.\n\nEl cuello de botella no está en el descubrimiento. Está en la estructura de permisos alrededor del descubrimiento.\n\nLo que significa que cuando Anthropic dice que Mythos Preview encontró miles de zero-days en dos semanas de pruebas internas, mi reacción no es "vaya, la IA ha desbloqueado alguna capacidad nueva que los humanos no podían alcanzar". Mi reacción es "sí — porque tenía alcance ilimitado, tiempo ilimitado y cobertura legal completa de su empresa matriz". Esas son exactamente las restricciones que limitan a los investigadores humanos, y eliminarlas de un agente suficientemente capaz produce exactamente este resultado.\n\n¿Es real el número del 83.1%? Probablemente sí. ¿Es peligrosa la capacidad? Posiblemente sí. ¿Es un cambio categórico para el que nada en la industria de la seguridad nos había preparado? Esa parte no me la creo. Y si sigues leyendo, te mostraré por qué la economía importa más que la capacidad.\n\n## La Prueba de Realidad del Bug Bounty\n\nAquí hay una prueba para cualquier narrativa de "la IA destruirá la ciberseguridad". Hazte esta pregunta: si los zero-days son tan escasos y tan valiosos, ¿por qué el mercado no se ha equilibrado ya?\n\nPorque el mercado, de hecho, lleva años equilibrándose. Y los precios cuentan una historia que contradice el planteamiento existencial.\n\nEl programa de recompensas de seguridad de Apple, a partir de octubre de 2025, paga $2 millones por un exploit de ejecución remota de código zero-click en iOS — la joya de la corona de la seguridad ofensiva. Con la bonificación del Lockdown Mode y las bonificaciones por software beta acumuladas, el pago máximo puede superar los $5 millones por una sola cadena. El evento Zero Day Quest 2026 de Microsoft — celebrado en su campus de Redmond en marzo — pagó $2.3 millones en aproximadamente 80 vulnerabilidades, con presupuestos de programa total que alcanzan los ocho dígitos anuales. El Vulnerability Reward Program de Google, el pool de recompensas de Meta, la recompensa de móviles de Samsung — la economía total de recompensas legales está bien entrado en los nueve dígitos por año.\n\n¿Qué nos dice esto? Dos cosas, y apuntan en direcciones opuestas.\n\nPrimero: el mercado de recompensas es eficiente. Si los zero-days fueran tan fáciles de encontrar como implica Hotz, estos precios serían más bajos. Un investigador con un pipeline confiable de RCEs zero-click en iOS no obtendría $2M por hallazgo — obtendría $50K, porque la oferta superaría a la demanda. El precio refleja dificultad genuina.\n\nSegundo: el dinero ya está ahí para quien tenga la habilidad. Un pentester que encuentra una cadena iOS zero-click por año gana más que la mayoría de los ingenieros senior en FAANG. Si la investigación asistida por IA genuinamente multiplica la producción de un investigador competente por 3x, el potencial de ganancias de ese investigador no baja — sube, porque captura más del pool de recompensas existente. La narrativa de "la IA devaluará a los investigadores de seguridad" solo funciona si asumes una demanda fija. La demanda no es fija. Cada nuevo dispositivo IoT, cada nuevo servicio en la nube, cada nuevo modelo de IA es una nueva superficie de ataque que no existía hace cinco años.\n\nEsta es la parte que la narrativa del doom ignora. El modelo de amenaza no es "la IA hace infinitos los zero-days". Es "la IA cambia quién puede encontrarlos y con qué rapidez". Ese cambio tiene consecuencias — pero son económicas y estructurales, no existenciales.\n\nY antes de pasar a lo que esas consecuencias realmente significan para los desarrolladores en activo, quiero hacer lo incómodo: defender el lado de Anthropic.\n\n## Por Qué la Restricción de Anthropic No Es Solo Marketing\n\nLa lectura cínica de Project Glasswing va así. Anthropic tiene una capacidad de la que quiere presumir. También tienen inversores conscientes de la seguridad y reguladores mirando cada uno de sus movimientos. Solución: enmarcar la capacidad como tan peligrosa que no puede lanzarse, generar un ciclo de relaciones públicas sobre el desarrollo responsable de IA, y usar silenciosamente el modelo con clientes empresariales aprobados que puedan pagarlo. El pastel comido y guardado.\n\nHe visto esa postura por todo Hacker News y X. Y lo admito — en un mal día, es adonde va mi propia mente. Las empresas de IA llevan tres años "lanzando falsas alarmas" sobre las capacidades de los modelos. Cada lanzamiento importante se enmarca como un riesgo civilizacional potencial hasta que doce semanas después un competidor lanza algo similar y la conversación avanza.\n\nPero.\n\nHe usado Claude Code lo suficiente como para tener intuiciones calibradas sobre lo que los modelos actuales de Claude realmente pueden hacer. Opus 4.6 puede mantener una base de código de 200,000 tokens en contexto y razonar sobre dependencias entre archivos de maneras que habrían parecido imposibles hace dieciocho meses. Escribí sobre esto en mi análisis práctico de Opus 4.6. Cuando veo a Opus 4.6 refactorizar una aplicación Laravel, no está haciendo coincidir patrones para llegar a una solución — está razonando sobre la intención arquitectónica y las implicaciones posteriores.\n\nSi Mythos Preview representa un paso significativo por encima de eso — y los documentos internos filtrados de Anthropic, que cubrí en mi artículo sobre la filtración de Claude Mythos, lo describen como "dramáticamente superior" — entonces la aplicación de investigación de vulnerabilidades no es un truco de marketing. Es una capacidad emergente predecible de un razonador de código suficientemente bueno, apuntado a entradas adversariales.\n\nAquí está la cosa específica que me convence de que no es todo teatro: la naturaleza de las vulnerabilidades encontradas.\n\nUn bug de 16 años en FFmpeg que cinco millones de ejecuciones de fuzzer pasaron por alto no es el tipo de cosa que encuentras teniendo suerte con un prompt. Es el tipo de cosa que encuentras razonando sobre por qué cierta ruta de código podría ser insegura en un caso extremo que los fuzzers — que funcionan mediante mutación aleatoria de entradas — nunca generarían. Eso es un tipo de búsqueda diferente a la fuerza bruta. Eso es investigación de vulnerabilidades basada en hipótesis. Eso es lo que hacen los humanos más experimentados.\n\nSi un modelo puede hacer eso de forma confiable — y si el costo de ejecutarlo sigue cayendo como lo han hecho los costos de inferencia durante dos años — entonces sí, la economía de la investigación de seguridad genuinamente cambia. No de la manera de "la IA va a acabar con la sociedad". De la manera más mundana, más importante: el piso sube.\n\n## El Cambio Real: Quién se Beneficia de un Piso más Alto\n\nDéjenme intentar ser específico sobre lo que creo que realmente cambia.\n\nAntes de la investigación de vulnerabilidades asistida por IA, encontrar un bug no trivial en una base de código como FFmpeg o el kernel de Linux requería una combinación específica de habilidades raras: comprensión profunda del lenguaje, familiaridad con la base de código, intuición sobre los modelos de atacantes y la paciencia para perseguir diez callejones sin salida por cada uno que resulta real. Esa combinación vivía en quizás diez mil personas en todo el mundo, concentradas en unas pocas empresas, algunos gobiernos y un puñado de investigadores independientes.\n\nDespués de la investigación asistida por IA — incluso con modelos públicos significativamente más débiles que Mythos Preview — esa combinación vive en un grupo mucho más grande. Un desarrollador competente con interés en seguridad y una clave de API de Claude puede ahora hacer un análisis preliminar de vulnerabilidades en una base de código en una tarde que le habría llevado a un especialista una semana. La barrera de entrada baja, aunque la barrera de habilidad élite se mantiene aproximadamente donde estaba.\n\nAquí es donde creo que los apocalípticos están equivocados y los que lo minimizan también están equivocados.\n\nLos apocalípticos están equivocados porque la IA no le da de repente a un adolescente de 15 años la capacidad de comprometer la cadena de señales del iPhone. Las habilidades requeridas para weaponizar un bug encontrado por un LLM — escribir un exploit confiable, eludir las mitigaciones, evitar la detección — siguen siendo habilidades profundamente humanas. Encontrar una vulnerabilidad es el paso uno de quizás quince pasos en una campaña ofensiva real.\n\nLos que lo minimizan están equivocados porque "el umbral para encontrar bugs comunes" es algo real que importa. La mayoría de las brechas de seguridad no provienen de zero-days exóticos de estados-nación. Provienen de vulnerabilidades del jardín cotidiano — inyección SQL, elusiones de autenticación, buckets S3 mal configurados, dependencias desactualizadas. Una herramienta que hace 10x más rápido el descubrimiento de esas vulnerabilidades cambia el cálculo económico para cada empresa mediana que no ha hecho una revisión de seguridad real en tres años.\n\nLo que corta en ambas direcciones. Los defensores ahora pueden permitirse una revisión de seguridad continua de una manera que antes no podían. Los atacantes ahora pueden perfilar objetivos más rápido que nunca. La carrera está en marcha. Y la pregunta a la que nadie tiene una respuesta clara es si el lado defensivo puede escalar la atención y los parches tan rápido como el lado ofensivo puede escalar el descubrimiento.\n\nDada la lentitud con que la mayoría de las organizaciones parchean — la reproducción de Vidoc Security Lab de los hallazgos de Mythos señaló que el 99% de los bugs que Anthropic reportó siguen sin parchear semanas después — no soy optimista sobre esa carrera en el corto plazo.\n\n## A Dónde Apuntan Realmente los Números del Benchmark\n\nVamos a fundamentar esto en datos concretos. Porque he visto muchos artículos este mes citando números de benchmarks sin explicar qué significan para alguien que toma decisiones reales.\n\nAquí están las puntuaciones actuales de benchmarks de modelos de frontera que vale la pena seguir, a partir de abril de 2026, específicamente en ARC-AGI-2 — un benchmark de razonamiento que se correlaciona razonablemente bien con la capacidad general:\n\n| Modelo | Puntuación ARC-AGI-2 | Precio de entrada / salida (por 1M de tokens) |\n|--------|----------------------|-----------------------------------------------|\n| Claude Sonnet 5 | 84.7% | $3 / $15 |\n| Gemini 3.1 Pro | 77.1% | $2 / $12 |\n| GPT-5.4 (nivel Pro) | 83.3% | Precio de nivel superior |\n| GPT-5.4 (estándar) | 73.3% | ~$2.50 / salida variable |\n| Claude Opus 4.6 | ~38% | $5 / $25 |\n\nVarias cosas llaman la atención. Primero, Claude Sonnet 5 ha superado a Opus 4.6 en benchmarks de razonamiento a una quinta parte del precio. Eso es una inversión de la jerarquía de niveles tradicional, y he escrito sobre ello en mi artículo sobre programación agéntica con Sonnet 5. Segundo, cada modelo de frontera en 2026 puntúa dramáticamente más alto en razonamiento que la generación de 2024 — la brecha entre lo que está disponible para el público y lo que se encuentra en laboratorios como el nivel restringido Mythos de Anthropic se está achicando, no ensanchando.\n\n¿Qué significa esto para el debate del zero-day? Significa que el punto implícito de Hotz — que los modelos públicos ya son suficientemente capaces para hacer investigación de vulnerabilidades significativa, si estás dispuesto a hacer el trabajo — es cada vez más defendible. Vidoc Security Lab reprodujo una parte de los hallazgos de Mythos usando modelos públicos, con más andamiaje y más cómputo pero sin ningún acceso restringido. La brecha entre Mythos Preview y lo que un investigador decidido con Claude Sonnet 5 o GPT-5.4 puede hacer es menor de lo que implica el planteamiento de Anthropic.\n\nEsa brecha seguirá cerrándose. Lo quiera Anthropic o no.\n\n## Lo que Yo Haría si Estuviera en tu Lugar\n\nYa es suficiente debate. Déjame darte la lectura práctica para tres situaciones específicas.\n\nSi eres un desarrollador que lanza software a producción: Asume que tu código va a ser auditado por una IA con capacidad de nivel Mythos en los próximos doce meses — porque alguna versión de esa capacidad estará disponible públicamente para entonces. El endurecimiento que tiene sentido para un equipo rojo humano (validación de entradas, minimizar la superficie de ataque, principio de mínimo privilegio, higiene de dependencias) es el mismo endurecimiento que tiene sentido para una auditoría impulsada por IA. Las herramientas cambian; los fundamentos no. Si aún no estás ejecutando una herramienta como Snyk, Semgrep o equivalente en cada PR, empieza esta semana. Si quieres un recorrido más profundo de cómo construir una capa de seguridad continua impulsada por IA en tu propio flujo de trabajo, cubrí la configuración exacta que uso en mi artículo sobre el agente escáner de seguridad de Claude Code.\n\nSi eres investigador de seguridad o pentester: Este es el momento más interesante del campo en una década. Empieza a integrar el descubrimiento asistido por IA en tu flujo de trabajo ahora, no porque reemplace tus habilidades, sino porque los clientes que te contraten en 2027 lo esperarán de la misma manera que hoy esperan que uses Burp Suite. Los investigadores que vean esto como una amenaza quedarán aplastados. Los que lo traten como un multiplicador de fuerza ganarán más dinero que nunca.\n\nSi diriges una empresa que depende de infraestructura de código abierto: Asume que cada librería de código abierto de uso generalizado va a tener múltiples nuevos hallazgos de alta gravedad divulgados en los próximos dieciocho meses. Presupuesta en consecuencia. Financia a los mantenedores de las librerías de las que dependes — a través de GitHub Sponsors, contratos directos, o lo que sea. La asimetría que la investigación de Anthropic sacó a la luz — IA poderosa apuntada a OSS sin suficiente financiación — no va a desaparecer. Lo responsable es ayudar a los humanos del otro lado de esa asimetría.\n\nUna cosa más. Si eres alguien que construye agentes de IA para cualquier propósito — y muchos de mis lectores lo son — la capacidad de investigación de vulnerabilidades que Anthropic demostró es una vista previa de cómo se ve la capacidad de los agentes en todos los dominios que implican búsqueda basada en hipótesis sobre grandes entradas estructuradas. Caza de bugs. Revisión de documentos legales. Análisis de literatura científica. Análisis forense financiero. Si quieres una visión fundamentada de cómo pensar en la construcción de sistemas de agentes en producción ahora mismo, la guía del Anthropic Agent SDK que escribí cubre los patrones arquitectónicos.\n\n## Dónde Deja Esto el Debate Hotz vs. Anthropic\n\nVolvamos a la granada que inició este artículo.\n\n¿Realmente publicó Hotz un zero-day por día? Al momento de escribir esto, no lo ha hecho. La amenaza era retórica. Lo cual es porque a) hacer eso es más difícil de lo que implicó, o b) porque el costo legal y ético de publicar zero-days en público es enorme independientemente de la dificultad técnica. Creo que es principalmente (b), con algo de (a) para las clases específicas de zero-clicks por las que Apple paga siete cifras.\n\n¿Exageró Anthropic el riesgo existencial de Mythos Preview? Probablemente sí en el planteamiento, probablemente no en la capacidad. El modelo puede hacer lo que dijeron que puede hacer. La pregunta de si eso es "demasiado peligroso para lanzar" es una pregunta de política, no técnica — y personas razonables pueden no estar de acuerdo sobre dónde está la línea.\n\nAquí es donde me sitúo. La parte interesante de este debate no es cuál de los dos lados tiene la razón. Ambos bandos tienen puntos afilados y ambos están parcialmente argumentando desde el propio interés. La parte interesante es lo que el debate revela sobre dónde se encuentra el campo.\n\nEstamos en el punto donde un modelo de IA de frontera puede hacer, de forma autónoma, el tipo de investigación de vulnerabilidades que anteriormente requería un investigador humano senior trabajando durante una semana. Eso es real. Eso está verificado por reproducciones independientes. Eso va a estar disponible públicamente — en distintos niveles de calidad — dentro del año.\n\nLa pregunta no es si entrar en pánico o ignorarlo. La pregunta es: dado que esta capacidad es ahora parte del panorama, ¿cómo queremos estructurar los sistemas legales, económicos y defensivos a su alrededor?\n\nEsa es la conversación que el planteamiento de Anthropic está intentando tener. Es también la conversación que la crítica de Hotz está intentando forzar. Están discutiendo sobre tácticas. Sobre la pregunta de fondo — que algo significativo ha cambiado en la seguridad ofensiva — en realidad están de acuerdo. Solo difieren en quién debería poder decirlo en voz alta.\n\n¿Yo? Creo que lo mejor que puede hacer un ingeniero en activo ahora mismo es tomar en serio el modelo de amenaza, usar las herramientas disponibles, y endurecer sus propios sistemas como si un investigador de IA incansable con una vendetta fuera a auditar su código el próximo martes.\n\nPorque antes de lo que crees, lo hará.\n\nLos mantenedores de FFmpeg no sabían que su código tenía un bug de 16 años. Ahora lo saben. La pregunta que vale la pena considerar esta noche es qué hay en tu base de código — la que escribiste, la de la que dependes, la que pusiste en producción el trimestre pasado — que un investigador de IA con ocho horas y un prompt encontraría el jueves por la tarde.\n\nEso no es una pregunta de marketing. Eso no es una pregunta de hype. Esa es simplemente la nueva realidad de lanzar software en 2026.\n\nY si no estás endureciéndote contra ello, ya estás atrasado.\n\n## Trabajemos Juntos\n\n¿Buscas construir sistemas de IA, automatizar flujos de trabajo o escalar tu infraestructura tecnológica? Me encantaría ayudarte.\n\n* Fiverr (desarrollos e integraciones personalizadas): fiverr.com/s/EgxYmWD\n* Portfolio: mejba.me\n* Ramlit Limited (soluciones empresariales): ramlit.com\n* ColorPark (diseño y marca): colorpark.io\n* xCyberSecurity (servicios de seguridad): xcybersecurity.io"