La inteligencia artificial aumenta la búsqueda de fallos y obliga a revisar cómo se protege el software.
La inteligencia artificial está acelerando la búsqueda de fallos de seguridad en el software. Los investigadores pueden usar modelos de IA para revisar código, detectar patrones y preparar pruebas. Así aparecen más vulnerabilidades, pero también cambia el equilibrio entre defensores y atacantes.
Muchas empresas pagan recompensas a quienes comunican errores de forma responsable. En 2016, Apple ofrecía hasta 200.000 dólares por ciertos hallazgos. En 2019 subió el máximo a un millón, y el año pasado llegó a dos millones. Ahora, algunos cazadores de fallos envían muchas más incidencias que antes.
El aumento no siempre ayuda. Algunos proyectos reciben informes repetidos, poco claros o incluso inventados. Curl cerró en enero su programa en HackerOne por la carga de avisos de baja calidad generados con IA. Después, su responsable dijo que también llegaban informes mejores y más frecuentes. Linus Torvalds avisó de que la lista de seguridad de Linux se había vuelto casi imposible de gestionar por mensajes duplicados.
Los delincuentes también aprovechan este cambio. Google observó a grupos criminales que intentaban explotar una vulnerabilidad desconocida, creada con ayuda de IA, para saltarse la autenticación en dos pasos en una plataforma de administración de código abierto. El fallo se corrigió tras el aviso. Por eso crece la presión para parchear antes, revisar los programas de premios y diseñar sistemas que reduzcan el daño cuando aparece un error.
Basado en: Lily Hay Newman, WIRED