El bug que sobrevivió 27 años
Un sistema operativo considerado uno de los más seguros del mundo. Millones de pruebas automatizadas ejecutadas a lo largo de dos décadas y media. Y aun así, ahí estaba: una vulnerabilidad crítica que permitía a un atacante remoto colapsar cualquier máquina con un mero handshake de red, sin contraseña, sin credenciales, sin trucos sofisticados. Nadie la había visto. Hasta que lo hizo una inteligencia artificial.
En abril de 2026, Anthropic reveló que Claude Mythos Preview, su nuevo modelo frontier de seguridad, había identificado esa vulnerabilidad de 27 años en OpenBSD de forma completamente autónoma. En ese mismo ejercicio, encontró miles de vulnerabilidades zero-day adicionales en todos los sistemas operativos y navegadores principales del mundo. Muchas de ellas habían sobrevivido millones de pruebas automatizadas previas.
Empresas como AWS, Microsoft, Google, Cisco, CrowdStrike, Palo Alto Networks y JPMorganChase se unieron de inmediato al Proyecto GlassWing: la iniciativa de Anthropic para usar estas capacidades con propósitos defensivos. La pregunta que está resonando en salas de dirección de todo el mundo es la misma que deberías hacerte tú: ¿qué significa esto para la seguridad de mi empresa?
La brecha que separa a los atacantes de los defensores… está cerrándose
Durante años, la ciberseguridad ha operado bajo una premisa incómoda: los atacantes solo necesitan encontrar una vulnerabilidad; los defensores deben proteger todas. La IA acaba de acelerar dramáticamente ese desequilibrio.
Según el Proyecto GlassWing, modelos como Claude Mythos Preview pueden encadenar múltiples vulnerabilidades de forma autónoma para escalar privilegios desde acceso de usuario ordinario hasta control total de un sistema. Esto no es ciencia ficción: es lo que ocurrió en el kernel de Linux durante las pruebas. El modelo también encontró una falla de 16 años en FFmpeg, el software de codificación de video que usa prácticamente cada plataforma del mundo, en una línea de código que herramientas automatizadas habían ejecutado más de cinco millones de veces sin detectarla.
La implicación estratégica es clara: si una IA defensiva puede encontrar todo esto, una IA ofensiva en manos equivocadas puede hacer exactamente lo mismo. La ventana entre el descubrimiento y la explotación de una vulnerabilidad, que antes tomaba meses, se está comprimiendo a horas o minutos.
Lo que antes era una ventaja reservada para equipos de seguridad grandes y costosos, hoy puede estar al alcance de actores maliciosos con muchos menos recursos. Para las PYMEs de Latinoamérica, que frecuentemente operan con equipos de TI reducidos y presupuestos ajustados, este cambio tiene implicaciones inmediatas.
¿Reemplaza la IA al pentester humano? La respuesta incómoda
El estudio más riguroso hasta la fecha sobre este tema, publicado por investigadores de Stanford y Carnegie Mellon en diciembre de 2025, evaluó al agente ARTEMIS contra diez profesionales de pentesting certificados en una red empresarial real de más de 8,000 hosts. El resultado fue provocador: ARTEMIS superó a nueve de los diez pentesters humanos, descubriendo vulnerabilidades con una tasa de precisión del 82%, a un costo de 18 dólares por hora versus 60 del profesional humano.
Sin embargo, el mismo estudio reveló las limitaciones críticas de la IA. Falló en ataques que requerían interacción con interfaces gráficas, en vulnerabilidades de lógica de negocio personalizada y en los llamados zero-days de contexto. Estas son aquellas fallas que solo un experto humano que entiende el ecosistema específico de la empresa puede detectar. Solo el 20% de los agentes de IA pudieron explotar exitosamente una vulnerabilidad crítica de ejecución remota de código en Windows, comparado con el 80% de los humanos.
La conclusión real no es que la IA reemplaza al pentester humano. Es que las organizaciones que combinen ambas capacidades, velocidad y escala de la IA, contexto y creatividad del experto humano, tendrán una ventaja defensiva que las que operen solo con equipos tradicionales no podrán igualar.
En Latinoamérica, donde ya existen leyes de Protección de Datos Personales que imponen obligaciones concretas sobre la seguridad de la información, y donde el número de ciberataques semanales alcanzó máximos históricos a finales de 2025, esta conversación no puede seguir siendo una discusión de TI. Es una discusión de Junta Directiva.
La pregunta que cada CEO, CFO, CTO y CISO de la región debería hacerse no es si su empresa necesita pentesting. Es si su programa de pentesting está a la altura del nivel de amenaza que ya existe.
Qué hacer hoy
Si tu empresa no ha llevado a cabo una evaluación de vulnerabilidades en los últimos 12 meses, el Proyecto GlassWing es una señal de alarma que no puedes ignorar. Un pentesting bien ejecutado, combinando herramientas de IA con el criterio de expertos humanos certificados, puede detectar las vulnerabilidades que los atacantes ya están buscando activamente con tecnología equivalente.
En CSTECH ayudamos a empresas de Ecuador y LATAM a evaluar su postura de seguridad con metodologías híbridas que combinan lo mejor de la automatización con el juicio experto de nuestro equipo. Si después de leer este artículo te preguntaste cuánto tiempo llevas sin revisar realmente la seguridad de tus sistemas, esa es exactamente la conversación que deberías tener con nosotros.
Reserva una asesoría sin costo en: https://consulting-systems.tech/asesoria-gratuita
Reserva una Asesoría Sin Costo
Agenda hoy mismo una cita con uno de nuestros expertos en ciberseguridad y privacidad de datos y protege la seguridad de la información de tu empresa.
CEO – Consulting Systems
CEH, CyberOps Associate, Computer Forensics US Master
