¿La IA es la mejor amiga o la peor pesadilla de los programadores?
Hace una década, el mundo de la ciberseguridad era un lugar muy distinto. Si encontrabas un hueco en el software de una gran empresa, la respuesta solía ser el silencio o, en el peor de los casos, una amenaza legal. Pero las cosas cambiaron: nacieron los programas de ‘recompensas por fallos’ (o bug bounties), donde las gigantes tecnológicas empezaron a pagarle a los investigadores por reportar vulnerabilidades. Lo que empezó como un pago de unos 3.5 millones de pesos (200,000 USD) de Apple en 2016, hoy ha escalado a cifras millonarias. Pero, en Tantita Tinta, nos preguntamos: ¿qué pasa cuando el buscador ya no es un humano, sino una inteligencia artificial?
El nuevo radar de largo alcance
La IA se está convirtiendo en el arma de doble filo más poderosa del sector. Por un lado, tenemos a los ‘cazadores’ que usan modelos de lenguaje para identificar debilidades de forma autónoma. Por otro, los cibercriminales ya están aprovechando esta tecnología para encontrar brechas antes que nadie. Como bien señala Joseph Thacker, investigador independiente, el volumen de reportes se ha disparado. Algunos expertos estiman que empresas como Google podrían gastar entre dos y diez veces más en compensaciones este año, simplemente porque el flujo de hallazgos es masivo.
Un mundo de 90 días que ya no existe
Tradicionalmente, existe una regla de oro: los investigadores dan 90 días a las empresas para parchar una vulnerabilidad antes de hacerla pública. Pero con la IA, este tiempo es una eternidad. La automatización ha comprimido los plazos de tal manera que el desarrollo de exploits ahora es cuestión de horas o días. La realidad nos alcanzó: hace poco, Google confirmó que ya existen actores malintencionados usando herramientas de IA para explotar vulnerabilidades de día cero (aquellas que nadie conocía). Es la primera vez que tenemos pruebas contundentes de que el crimen organizado está sacándole jugo a estas herramientas.
Calidad sobre cantidad: El lío de los reportes basura
No todo es miel sobre hojuelas. El exceso de reportes generados por IA ha creado un ‘ruido’ insoportable. Proyectos como Curl han tenido que cerrar sus programas de recompensas temporalmente porque estaban inundados de basura. Incluso Linus Torvalds, el padre de Linux, ha comentado que su lista de correo se ha vuelto casi inmanejable por la duplicación de fallos reportados automáticamente. El reto ahora es filtrar el grano de la paja: las empresas están ajustando sus pagos para premiar solo lo realmente impactante.
¿Hacia dónde vamos?
Para nosotros en Tantita Tinta, el mensaje de los expertos es claro: no podemos salir de esta crisis a punta de parches. Niels Provos, un veterano de la industria, lo resume perfecto: no se trata de tapar agujeros, sino de construir una infraestructura que, por diseño, haga que estos fallos sean irrelevantes. Mientras tanto, la cacería continúa, pero con reglas del juego que cambian cada vez que un modelo de IA se vuelve un poquito más inteligente.
Fuente: WIRED en Español
