← Blog
EN ES

Si la IA construye tu código, la IA puede romperlo

3 min de lectura

Hay un tema del que nadie quiere hablar en ciberseguridad: la misma tecnología que está escribiendo tus nuevas funcionalidades también puede escribir los exploits para romperlas. La diferencia es que las personas que intentan vulnerar tus sistemas no tienen que pedir autorización de presupuesto ni pasar por procesos de cumplimiento antes de usar estas herramientas.

El problema de la asimetría

El desarrollo de software solía tener un ritmo predecible. Humanos inteligentes escribían código, otros humanos lo revisaban, atrapaban algunos errores y lanzaban el producto. La ciberseguridad era un juego del gato y el ratón, pero ambos lados jugaban estrictamente a velocidad humana.

Los modelos de lenguaje rompieron esa física para siempre.

Hoy un atacante tiene una máquina que puede escanear millones de líneas de código en segundos para encontrar fallas lógicas, condiciones de carrera y problemas de autenticación que a un auditor humano le tomaría semanas detectar. Una vez que encuentra la grieta, el modelo genera cadenas de exploits automáticamente, probando un ángulo tras otro sin cansarse. Para cuando tus alertas de monitoreo suenan y un humano de tu equipo despierta para revisar el log, el atacante ya probó mil vectores diferentes.

Mientras tanto, tu equipo de seguridad sigue operando a velocidad humana. Siguen leyendo alertas a mano, actualizando manuales en texto plano e investigando incidentes uno por uno. Esta no es una pelea justa, es llevar un cuchillo a un tiroteo.

Tu código abierto es un arma en tu contra

La aplicación ofensiva de esta tecnología es brutal. Si le entregas una base de código a un modelo entrenado en seguridad ofensiva, va a encontrar problemas más rápido que cualquier pentest tradicional. Imagina lo que pasa cuando un atacante le alimenta tu repositorio público a un modelo, o peor, cuando logra acceso a tu código privado a través de una dependencia vulnerada.

La ingeniería social también dejó de ser un correo mal escrito desde un servidor extraño. Hoy la IA genera campañas de phishing a escala que suenan exactamente como si tu CTO las hubiera escrito, adaptando el lenguaje técnico a la arquitectura específica de tu empresa que el modelo dedujo leyendo los perfiles de LinkedIn de tus ingenieros.

El doble estándar te va a matar

Lo más absurdo de todo esto es el estándar doble que manejan las empresas. Los mismos directivos que aprueban licencias de herramientas de IA para que los ingenieros escriban código más rápido se niegan a soltar presupuesto para que el equipo de seguridad haga lo mismo. Ingeniería recibe un multiplicador de fuerza brutal mientras que seguridad recibe un dashboard nuevo que nadie tiene tiempo de revisar.

Tus equipos de desarrollo usan inteligencia artificial para desplegar código a una velocidad que nunca habías visto, generando más superficie de ataque cada hora, mientras tus equipos de seguridad usan hojas de cálculo y scripts viejos para intentar proteger ese volumen. Un lado acelera, el otro se ahoga.

La velocidad de la máquina

El riesgo real hoy no es que la inteligencia artificial se vuelva consciente, el riesgo es la complacencia de los equipos técnicos. La seguridad sigue basándose en los mismos principios de entender tu superficie de ataque y reducir tus vulnerabilidades, pero la velocidad y la escala del juego acaban de multiplicarse por mil.

Si los atacantes automatizan el descubrimiento de fallas a la velocidad de la máquina y tú intentas pararlos con auditores que revisan pull requests a la velocidad humana, el resultado ya está decidido. No usar IA en tu estrategia de defensa no te hace prudente, te convierte en un blanco fácil.