La irrupción de modelos de IA avanzados como “Claude Mythos” ha encendido las alarmas en el sector de la ciberseguridad. Eusebio Nieva, director técnico de Check Point Software para España y Portugal, advierten de que estas herramientas marcan un punto de inflexión al automatizar capacidades ofensivas que hasta ahora requerían altos niveles de especialización, abriendo la puerta a una nueva era de ciberataques más rápidos, escalables y accesibles para un mayor número de actores maliciosos.
Índice de temas
¿Se puede considerar este anuncio una «bomba» en el entorno de la ciberseguridad?
Si bien Mythos puede considerarse como un punto de inflexión y un umbral crítico, es también cierto que parte de las capacidades de Mythos ya están disponibles en otros modelos en algunos casos con un nivel similar aunque en otros aspectos Mythos es sustancialmente más potente. No obstante, podemos establecer que es un hito que señala el inicio de la “industrialización de los ciberataques”, trasladando capacidades que antes eran casi exclusivas de estados-nación a grupos de ciberdelincuentes comunes. Esta situación ha provocado una reacción clara en el mercado, ya que marca el surgimiento de fábricas de ataques con IA capaces de analizar sistemas empresariales a gran escala de forma continua.
¿Qué cambio cualitativo introduce Claude Mythos respecto a modelos anteriores en términos de capacidad ofensiva autónoma?
Claude Mythos presenta capacidades sustancialmente mejoradas en el descubrimiento de vulnerabilidades, la ingeniería inversa y el razonamiento de ataques en múltiples etapas. A diferencia de modelos anteriores más simples, este sistema puede integrarse con herramientas y APIs para automatizar pruebas de penetración y el desarrollo de exploits. El cambio cualitativo fundamental es su capacidad para pasar de operaciones manuales a procesos automatizados, sistemáticos y reproducibles.
Si herramientas como Mythos reducen el tiempo y las habilidades necesarios para ejecutar ataques, ¿cómo cambia esto el perfil del atacante y el modelo de amenaza?
Se produce una “democratización de capacidades avanzadas”, lo que permite que actores con menor nivel técnico ejecuten ataques sofisticados que antes requerían equipos altamente cualificados o grandes presupuestos estatales. El modelo de amenaza cambia de ataques esporádicos a un flujo casi continuo de nuevos métodos de ataque, donde el tiempo de explotación de una vulnerabilidad se reduce prácticamente a cero. Esto amplía drásticamente el número de organizaciones en riesgo al bajar la barrera de entrada para la ciberdelincuencia.
Debemos asumir que, a partir de ahora, los atacantes van a contar con este tipo de herramientas de forma habitual como parte de su arsenal ofensivo, es posible que no sea Mythos en concreto pero existen otros modelos con capacidades similares o incluso una mezcla de ellos para alcanzar los mismos resultados y, en el futuro, estas capacidades serán más comunes en los diferentes modelos, incluyendo aquellos de pesos abiertos u open source.
¿Qué riesgos reales existen de que estas capacidades se trasladen al mundo real, especialmente contra infraestructuras críticas?
El riesgo es inminente, ya que la IA permite analizar tecnologías legacy (heredadas) y sistemas SaaS a una escala y frecuencia muy altas. Los actores maliciosos pueden abusar de modelos avanzados o esperar a que estas capacidades lleguen a modelos de código abierto (open source) sin supervisión. Para infraestructuras críticas, esto significa que los puntos ciegos comunes, como servidores sin parchear o sistemas antiguos, pueden ser identificados y explotados de forma masiva y automática.
¿Están las empresas preparadas para defenderse de ataques multietapa automatizados por IA?
La mayoría de las empresas necesita reforzar su postura de seguridad, ya que las configuraciones por defecto de firewalls, redes y endpoints no están optimizadas frente a estas amenazas de tipo zero day. Check Point Software indica que es necesario acelerar los ciclos de parcheo, implementar soluciones de parcheo virtual automatizado y reforzar la segmentación de red para limitar el movimiento lateral. La preparación actual es insuficiente si las organizaciones no asumen que los adversarios ya están utilizando estas capacidades y no auditan rigurosamente la seguridad de sus proveedores.
