La llegada de Mythos AI ha suscitado un intenso debate en el sector de la ciberseguridad. Desde los investigadores de seguridad hasta los principales medios de comunicación, la conversación ha oscilado entre la fascinación y el miedo a la indiferencia, con algunos afirmando que todos hemos visto este tipo de bombo antes.

Sin embargo, una plataforma que puede identificar vulnerabilidades no descubiertas previamente a lo largo de décadas de desarrollo de software plantea naturalmente una pregunta importante. ¿El descubrimiento de vulnerabilidades impulsado por la IA reforzará la resistencia cibernética o simplemente acelerará las capacidades de los atacantes?

No cabe duda de que Anthropic ha alimentado algunas de esas especulaciones al controlar estrictamente el acceso a Mythos a través del Proyecto Glasswing, al tiempo que advertía de los riesgos potenciales en caso de que capacidades similares cayeran en las manos equivocadas.

No se puede negar el logro técnico que supone Mythos. La capacidad de analizar grandes cantidades de código a gran velocidad e identificar fugas de memoria, rutas de ejecución inesperadas y vulnerabilidades ocultas representa un avance significativo en las pruebas de seguridad del software. Para los desarrolladores e investigadores de seguridad, el análisis asistido por IA tiene el potencial de mejorar la calidad del código, reducir las debilidades del software y acortar los plazos de descubrimiento de vulnerabilidades.

Sin embargo, desde una perspectiva de ciberseguridad operativa, la conversación en torno a Mythos corre el riesgo de pasar por alto una realidad más importante.

Una buena higiene cibernética será más importante que nunca

En Integrity360 comprobamos a diario que la mayoría de los ciberataques con éxito no se producen porque los autores de las amenazas hayan descubierto una oscura vulnerabilidad de día cero oculta en un código de hace décadas. Ocurren porque las organizaciones siguen teniendo problemas con la higiene fundamental de la ciberseguridad. Hoy más que nunca, los atacantes no están hackeando una organización, simplemente están accediendo a ella.

Los sistemas sin parches, los servicios expuestos, la segmentación débil, los privilegios excesivos, los cortafuegos mal configurados y la escasa visibilidad siguen proporcionando a los atacantes vías fáciles de acceso a los entornos. Los actores de las amenazas rara vez necesitan sofisticadas herramientas de IA cuando muchas organizaciones siguen dejando accesibles exposiciones críticas a través de brechas evitables en la seguridad operativa.

Por ello, la visibilidad total, la detección y segmentación, el refuerzo de la red, la reducción de la superficie de ataque y la segmentación siguen siendo fundamentos esenciales de la ciberresiliencia.

Ni siquiera la plataforma más avanzada de descubrimiento de vulnerabilidades por IA puede compensar unos controles de acceso mal aplicados o unas arquitecturas de red planas que permiten a los atacantes moverse lateralmente una vez dentro de un entorno. La seguridad no se consigue con un único avance tecnológico. Procede de la defensa en capas, la disciplina operativa y la visibilidad en todo el entorno.

Las personas siguen teniendo un papel que desempeñar

Una herramienta como Mythos puede descubrir cientos o incluso miles de vulnerabilidades potenciales, pero identificar los puntos débiles es sólo una parte del reto. Las organizaciones aún necesitan comprender qué riesgos son realmente explotables, qué sistemas son críticos para el negocio y qué vulnerabilidades representan rutas de ataque realistas dentro de su entorno.

Sin una comprensión contextual, los equipos de seguridad corren el riesgo de verse abrumados por el volumen, en lugar de verse reforzados por la información.

Esta es precisamente la razón por la que la detección y respuesta, la gestión continua de la exposición a amenazas (CTEM) y las operaciones de seguridad proactivas siguen siendo tan importantes. Una ciberseguridad eficaz no consiste en generar alertas interminables o descubrir cualquier debilidad teórica. Se trata de priorizar los riesgos que más importan a la organización y responder antes de que los atacantes puedan explotarlos.

El sector de la ciberseguridad ya se enfrenta a la fatiga de las alertas, la escasez de personal cualificado y la presión de los recursos. Introducir a gran escala el descubrimiento de vulnerabilidades generado por IA sin un triaje, una gobernanza y una madurez operativa adecuados podría aumentar la complejidad en lugar de reducir el riesgo.

También está surgiendo la idea errónea de que la IA por sí misma resolverá de algún modo los problemas de ciberseguridad.

La realidad es que los atacantes no necesitan capacidades similares a las de Mythos para comprometer a muchas organizaciones hoy en día. Las amenazas siguen explotando vulnerabilidades conocidas, credenciales robadas y configuraciones débiles porque estos métodos siguen siendo eficaces. En muchos casos, las herramientas necesarias para comprometer entornos ya existen y son fácilmente accesibles.

Esto significa que las organizaciones no deben esperar a que las herramientas de ciberseguridad basadas en IA se generalicen para mejorar su resistencia.

La prioridad debe seguir siendo clara:

• Fortalecer los sistemas críticos
• Reducir la exposición innecesaria
• Implementar la segmentación
• Mejorar la visibilidad y la supervisión
• Reforzar la gestión de identidades y accesos
• Desarrollar capacidades maduras de detección y respuesta

No cabe duda de que la IA desempeñará un papel cada vez más importante tanto en la ciberdefensa como en la ciberofensiva. Mythos demuestra lo rápido que están evolucionando estas capacidades. Pero la IA por sí sola no es una estrategia de ciberseguridad. La IA por sí sola no resolverá el problema de la ciberseguridad, pero sí lo hará la creación del equipo humano de IA adecuado. Combine la experiencia, los conocimientos empresariales y el pensamiento creativo de los humanos con la escala y la velocidad de la IA.

Las organizaciones que se centren hoy en la resistencia operativa, la defensa en capas y la madurez proactiva de la seguridad estarán mucho mejor posicionadas para resistir tanto a las amenazas actuales como a los ataques del futuro basados en la IA. Ahí es donde seguirá ganándose la verdadera batalla de la ciberseguridad.

Si le preocupa el revuelo en torno a Mythos y las amenazas de ciberseguridad de la IA en general, póngase en contacto con nuestros expertos hoy mismo.