La inteligencia artificial aumenta la búsqueda de fallos y obliga a revisar cómo se protege el software.
La IA está convirtiendo la caza de fallos de seguridad en una carrera más rápida. Los modelos actuales pueden revisar código, sugerir pruebas y ayudar a crear explotaciones. Para los equipos defensivos, eso permite encontrar errores antes; para los atacantes, reduce costes y pone técnicas más avanzadas a su alcance.
Los programas de recompensas ya eran importantes. Apple anunció en 2016 premios máximos de 200.000 dólares, los elevó a un millón en 2019 y llegó a dos millones el año pasado. Ahora la IA multiplica los envíos. Joseph Thacker afirma que ha comunicado alrededor del triple de fallos que un año antes.
El volumen crea tensión. Las grandes tecnológicas pueden pagar y revisar más, pero muchos proyectos no tienen tanto margen. Curl cerró en enero su recompensa en HackerOne tras recibir demasiados informes malos generados con IA; más tarde, su fundador dijo que llegaban reportes mejores, también asistidos por IA. Linux ha sufrido mensajes duplicados en su lista de seguridad.
La amenaza no es solo administrativa. Google detectó a grupos criminales intentando usar una vulnerabilidad de día cero, desarrollada con ayuda de IA, para eludir la autenticación en dos pasos en una plataforma de administración de código abierto. El desarrollador publicó una corrección tras el aviso. Google también reajusta premios en Chrome y Android. Crece una idea: parchear seguirá siendo necesario, pero la defensa debe hacer que muchos fallos resulten menos explotables.
Basado en: Lily Hay Newman, WIRED