Un bug de 27 años encontrado en pocas horas
OpenBSD es uno de los sistemas operativos más utilizados para servidores e infraestructuras críticas. Tiene una reputación de seguridad construida en treinta años. Y sin embargo, en su interior se escondía un bug que nadie había encontrado nunca — un error en el código que podía provocar un crash remoto del sistema.
Llevaba 27 años ahí.
No lo encontró un equipo de penetration testers. Fue Claude Mythos, el modelo de investigación de Anthropic, en el marco de Project Glasswing — una iniciativa lanzada con AWS, Google, Microsoft, Cisco, Apple, NVIDIA y otros socios para proteger el software crítico mundial.
Lo mismo ocurrió con FFmpeg — una biblioteca utilizada en todas las aplicaciones de vídeo. Un bug de 16 años que había pasado desapercibido en cinco millones de tests automáticos. Encontrado por Claude en pocas horas.
El mensaje no es «la IA es increíble». El mensaje es: el software que utiliza cada día — en sus servidores, en los ordenadores de sus empleados, en sus sistemas de gestión — tiene casi con certeza vulnerabilidades que nadie ha encontrado todavía.
Qué son las vulnerabilidades zero-day, sin tecnicismos
Una vulnerabilidad es un error en el código de un software. Puede ser un bug menor o una brecha crítica que permite a alguien entrar en el sistema, robar datos o bloquearlo todo.
Cuando la brecha es conocida por el fabricante, se corrige con una actualización. Cuando es desconocida — ni para el fabricante ni para la comunidad de seguridad — se llama zero-day. El nombre viene del hecho de que quien la descubre tiene cero días de ventaja para defenderse, porque el patch aún no existe.
Los datos de Claude Mythos retratan una realidad incómoda: en el momento de la publicación, más del 99 % de las vulnerabilidades encontradas seguía abierto. Significa que durante meses — a veces años — esas brechas estaban ahí, explotables por cualquiera que las descubriera primero.
Por qué esto cambia las reglas para todas las empresas
Hasta hoy, el modelo mental dominante sobre la seguridad era bastante sencillo: instale un antivirus, forme a los empleados sobre el phishing, haga copias de seguridad. Si utiliza software extendido y lo mantiene actualizado, está razonablemente seguro.
Este modelo funcionaba mientras encontrar vulnerabilidades era difícil, costoso y requería una experiencia escasa. Un penetration tester experimentado necesita semanas para analizar un sistema complejo.
La IA escala. Claude Mythos analizó OpenBSD a un coste de aproximadamente 20.000 dólares por mil análisis, encontrando docenas de problemas. Lo que antes requería un equipo senior durante meses ahora requiere un modelo de IA durante horas.
El problema es bilateral: la IA puede utilizarse para defender, pero también puede utilizarse — por quienes tienen intenciones distintas — para atacar. La ventana temporal en la que una brecha permanece sin explotar se acorta.
¿Quiere entender cómo la IA cambia la seguridad de su empresa?
30 minutos para discutir tu caso específico.
Qué hacer ahora, de forma concreta
No es necesario convertirse en experto en seguridad informática. Hacen falta tres hábitos que muchas empresas aún no tienen.
El primero es activar las actualizaciones automáticas en todos los lugares donde sea posible. La ventana entre la publicación de un patch y el momento en que es explotado por atacantes se ha reducido a pocos días. Gestionar las actualizaciones manualmente es un lujo que las pymes ya no pueden permitirse en muchos contextos.
El segundo es reducir la superficie de ataque. Cada servicio expuesto en internet, cada software instalado pero no utilizado es un potencial punto de entrada. Una auditoría periódica de lo que está efectivamente activo vale más que muchas herramientas costosas.
El tercero es tener un plan para el «cuando ocurre», no solo para el «si ocurre». Copias de seguridad verificadas, procedimientos de respuesta ante incidentes, contactos del proveedor de sistemas. No hace falta un CISO interno — hace falta saber a quién llamar y qué hacer en las primeras horas.
La IA como herramienta de defensa, no solo de ataque
El reverso de la moneda es que la misma tecnología utilizada para encontrar brechas puede utilizarse para defenderse.
Project Glasswing está poniendo a disposición 100 millones de dólares en créditos de IA para las organizaciones de seguridad open source. El objetivo es hacer vulnerability research sistemática antes de que lo hagan otros.
Para las empresas, esto se traduce en una perspectiva concreta: la IA puede hacer vulnerability scanning en bases de código propietarias, analizar configuraciones de seguridad, identificar comportamientos anómalos en los logs. No sustituye a un equipo de seguridad, pero reduce drásticamente el coste de hacer cosas que antes solo estaban al alcance de las grandes empresas.
Un escenario realista para una pyme no es «construir su propio Claude Mythos». Es utilizar la IA para hacer cosas más sencillas pero igualmente útiles: analizar sus propios sistemas en busca de configuraciones arriesgadas, monitorizar anomalías, formar a los empleados con simulaciones personalizadas.
El próximo paso para su empresa
La ciberseguridad en 2026 ya no es solo un problema técnico. Es un problema de estrategia empresarial. Cada brecha no corregida es un riesgo operativo, reputacional y — con las normativas NIS2 y GDPR — potencialmente legal.
Entender cómo la IA cambia este panorama no requiere convertirse en técnico. Requiere hacer las preguntas correctas: ¿cuáles son mis sistemas críticos? ¿Quién gestiona las actualizaciones? ¿Qué ocurre si mañana alguien accede a nuestros datos?
Maverick AI ayuda a las empresas a responder a estas preguntas y a entender dónde la IA puede marcar la diferencia. Si quiere entender por dónde empezar, reserve una llamada.