Acaba de anunciarse otra vulnerabilidad crítica en un programa conocido. Llevaba años ahí, silenciosa, incrustada en código que nadie miraba. Esta vez, como tantas últimamente, ha sido descubierta con ayuda de la IA. No importa cuándo leas esto: va a seguir ocurriendo. ¿Cada vez más? Sí. ¿Para siempre? No creo. Pienso que, como de costumbre, sufriremos una crisis, antes de evolucionar.

Estamos en un momento peculiar. Muchos modelos de IA acaban de “aterrizar” en el análisis de seguridad con una capacidad sorprendente para detectar patrones de fallo. Y claro, el mundo está lleno de software heredado. Décadas de código y millones de líneas donde ponerse a buscar. Vulnerabilidades de hace 10 o 20 años que siempre estuvieron ahí, esperando la paciencia de alguien con conocimiento. Pero ya no. Solo es necesaria la velocidad de una máquina.

Hasta hace poco, el equilibrio se sostenía porque encontrar fallos costaba tiempo, esfuerzo y talento. Esa fricción se traducía en valor. Se pagaba en el lado legítimo, en forma de incentivos económicos para los investigadores. Si se encontraba un fallo en un software y se reporta al fabricante, se le recompensa por mejorarlo y conseguirlo antes que “los malos”. Todos ganan. Aunque los malos tenían también su motivación: un fallo importante en un software conocido, podía traducirse en ataques más sofisticados. Había un mercado para todos porque había escasez.

La IA rompe esa escasez. De repente, los tiempos se comprimen. Lo que antes llevaba meses, ahora puede explorarse en horas. Los fallos antiguos empiezan a aflorar en masa. Las ventanas entre descubrimiento y parcheo se solapan peligrosamente. Atacantes e investigadores juegan con las mismas herramientas, pero a una velocidad que no estábamos acostumbrados a gestionar. La carrera se acelera… y durante un tiempo, asistiremos a una especie de carnicería donde sufriremos muchas vulnerabilidades inesperadas.

Pero también hay que tener en cuenta que, si encontrar exploits deja de requerir esa inversión de paciencia y conocimiento, su valor de mercado podría caer, incluso aunque su impacto siga siendo igual de devastador. Eso tensiona directamente el modelo de recompensas. Menos escasez, menos incentivo económico en el lado “bueno”.

¿Y entonces qué? El riesgo es volver a un escenario que ya conocemos y que vivimos hace unos 15 años. Una industria incapaz de absorber talento, recompensas ridículas para investigadores legítimos, y un mercado negro mucho más atractivo para quien se atrevía a adentrarse en él. La industria de la ciberseguridad ya estuvo ahí. Y no fue precisamente una buena época. Por eso, el modelo de recompensas para los investigadores honrados no puede quedarse quieto.

La buena noticia es que esta misma IA que está sacando los colores al software también puede integrarse en cómo lo construimos. Si entra de lleno y se adopta en las metodologías de desarrollo, el código podría nacer mucho más robusto desde el inicio. No perfecto, pero sí más resistente. Menos errores, más barreras desde el diseño.

Y eso cambia el tipo de vulnerabilidad que veremos después de esta tormenta. Menos fallos “obvios” y más problemas complejos, profundos, difíciles de detectar incluso para modelos avanzados. Unas barreras más altas que generen menos volumen de fallos (cuyo ruido está ya empeorando la experiencia de los investigadores) pero mucho más sofisticados.

O quizá el equilibrio no venga por ahí. También es posible que el propio concepto de exploit pierda protagonismo frente a medidas defensivas cada vez más fuertes. Protecciones más agresivas, aislamiento por diseño, políticas de ejecución más estrictas. La IA nos puede ayudar a reforzar el terreno donde esos fallos intentan operar, no solo a perseguirlos.

En cualquier caso, hay algo que parece claro: este problema no se va a resolver sin más tecnología. La IA está actuando como catalizador de una tormenta… pero probablemente también será parte de la solución. Veneno y antídoto, en el mismo paquete.