← Blog
EN ES

Si la IA puede construir tu software también puede romperlo

6 min de lectura

Hay algo muy incómodo de lo que absolutamente nadie en seguridad quiere hablar, y es que la misma inteligencia artificial que escribe tus funcionalidades puede escribir tus exploits. Las personas que apuntan a tus sistemas no tienen reuniones de aprobación de presupuesto ni revisiones de cumplimiento que los detengan o los hagan ir más lento.

El problema de la asimetría

Así es exactamente como funcionaba el desarrollo de software antes: humanos inteligentes escriben código, otros humanos inteligentes lo revisan, se atrapan algunos errores y el software se lanza. La seguridad era un juego del gato y el ratón, pero ambos lados estaban jugando estrictamente a velocidad humana.

La IA rompió ese equilibrio por completo.

Ahora un lado tiene una máquina que puede escanear millones de líneas de código en busca de vulnerabilidades en segundos, y no me refiero a las vulnerabilidades obvias, sino a fallas lógicas sutiles, condiciones de carrera y desvíos de autenticación que a un auditor humano le tomaría horas encontrar. Puede generar cadenas de exploits automáticamente, combinando múltiples problemas de baja severidad en algo catastrófico, y puede adaptarse en tiempo real porque si un exploit no funciona, la IA intenta otro ángulo a velocidad de máquina. Cuando tus alertas de monitoreo se encienden y un humano finalmente revisa la situación, el atacante ya ha pasado al siguiente enfoque, escribiendo malware polimórfico que se reescribe a sí mismo para evadir la detección de firmas y haciendo que el antivirus tradicional sea completamente inútil.

El otro lado, que es tu equipo de seguridad, sigue operando mayormente a velocidad humana leyendo alertas, escribiendo manuales e investigando incidentes manualmente. Tal vez tienen algo de automatización o incluso algunas herramientas de IA, pero en la mayoría de las organizaciones con las que he trabajado, la seguridad está a años luz de distancia del desarrollo en adopción de IA.

Esta no es una pelea justa.

Cómo se ven realmente los ataques con IA

Esto no es teórico en lo absoluto. He visto lo que es posible al construir sistemas de IA y las aplicaciones ofensivas son increíblemente directas.

Descubrimiento automatizado de vulnerabilidades significa que si alimentas una base de código a un modelo con entrenamiento en seguridad, este señalará problemas más rápido y de forma más exhaustiva que la mayoría de las auditorías manuales, así que imagina esto en manos de alguien que encontró tu repositorio en GitHub o que obtuvo acceso a tu código propietario a través de una dependencia comprometida.

El fuzzing inteligente supera al fuzzing tradicional porque en lugar de lanzar inputs al azar esperando que algo se rompa, el fuzzing guiado por IA entiende la estructura de tu aplicación y genera inputs inteligentemente apuntando a puntos de falla probables.

La ingeniería social a escala utiliza IA para escribir correos de phishing convincentes y adaptados a tu empresa, tu tecnología y tus comunicados de prensa recientes, creando correos que suenan exactamente como si vinieran de tu propio CTO en lugar de la basura genérica de siempre.

Los ataques a la cadena de suministro usan IA para identificar cuáles de tus dependencias son mantenidas por desarrolladores solitarios o no se han actualizado recientemente, para luego generar pull requests maliciosos y dirigidos que parecen completamente legítimos.

La verdad incómoda sobre tu equipo de seguridad

La mayoría de los equipos de seguridad que conozco hacen un buen trabajo pero lo hacen con herramientas y flujos de trabajo de ayer. Están orgullosos de sus revisiones manuales de código, sus reglas personalizadas y sus manuales construidos con años de experiencia.

Esa experiencia es valiosa pero absolutamente no escala contra una máquina.

Un ingeniero de seguridad humano puede auditar quizás un par de miles de líneas de código por día, mientras que una IA puede auditar una base de código entera en el tiempo que te toma ir por un café. Un analista humano puede investigar de cinco a diez alertas por turno, mientras que un sistema de IA puede clasificar cientos y escalar solo las que realmente requieren juicio humano.

Los equipos de seguridad que logran mantenerse al día son los que usan IA para escanear código e infraestructura continuamente en lugar de solo en tiempo de auditoría, para automatizar el triaje y la investigación inicial de alertas, para generar y correr pruebas de seguridad como parte del pipeline, para monitorear comportamiento anómalo usando modelos entrenados en sus propios patrones de tráfico, y para redactar planes de respuesta a incidentes para escenarios que aún no han enfrentado.

Si tu equipo de seguridad no está haciendo al menos algo de esto, no son lentos, están completamente ciegos.

El doble estándar

Aquí está lo que más me molesta. Los mismos ejecutivos que aprobaron las herramientas de programación de IA de doscientos dólares al mes para ingeniería no aprobarán el mismo gasto para seguridad. Ingeniería obtiene el multiplicador de fuerza mientras que seguridad obtiene otro dashboard que no tienen tiempo de mirar.

Los equipos de desarrollo usan IA para enviar más rápido mientras los equipos de seguridad usan hojas de cálculo para rastrear vulnerabilidades, por lo que un lado está acelerando mientras el otro apenas se mantiene a flote.

¿Y los atacantes? Ellos no están esperando la aprobación del presupuesto ni llenando formularios de compras. Están usando las mejores herramientas disponibles hoy mismo en contra de tus sistemas.

Lo que están haciendo los equipos menos dormidos

Los equipos en los que confío no están escribiendo manifiestos sobre la seguridad de la IA, están haciendo el trabajo aburrido y necesario.

Usan las mismas herramientas en ambos lados de la empresa, lo que significa que si ingeniería tiene asistentes de IA de primer nivel, seguridad también los tiene. Escanean antes de integrar el código en cada commit, en cada pull request y en cada cambio de dependencia. Hacen ejercicios de red-team asumiendo atacantes a velocidad de máquina en lugar de humanos pacientes, y basan su detección en comportamiento en lugar de simples firmas que alguien escribió después de la brecha del año pasado.

El uso real y diario por parte del equipo de seguridad es lo único que importa, no un taller, ni un webinar, ni marcar una casilla en la plataforma anual de capacitación.

El riesgo real no es la IA sino la complacencia

No trato de ser alarmista ni creo que el cielo se esté cayendo, pero el terreno se ha movido y muchos equipos de seguridad están parados sobre un suelo que se desplazó sin que se dieran cuenta.

La IA no cambia los fundamentos de la seguridad, todavía debes entender tu superficie de ataque, reducir tus vulnerabilidades y detectar y responder rápidamente, pero sí cambia radicalmente la velocidad y la escala a la que operan tanto la ofensa como la defensa.

Si solo un lado está usando esta nueva velocidad y escala, ese lado gana, y ahora mismo en demasiadas organizaciones ese lado no es el tuyo.

Anterior

El ingeniero más barato cuesta 200 dólares

 Siguiente

Tu entrevista técnica está rota (y evaluando cosas del 2015)