Una nueva generación de modelos de inteligencia artificial ha comenzado a destacar en un campo crítico: la ciberseguridad. Investigadores de la Universidad de California en Berkeley demostraron que estas herramientas pueden encontrar vulnerabilidades en el software que antes pasaban desapercibidas, incluyendo fallos conocidos como "de día cero", que representan un riesgo grave porque pueden ser explotados sin previo aviso.

Usando un nuevo sistema de evaluación llamado CyberGym, los investigadores analizaron 188 grandes proyectos de código abierto y descubrieron 17 bugs, 15 de ellos completamente nuevos.

“Muchas de estas vulnerabilidades son críticas”,

explicó Dawn Song, profesora de UC Berkeley y líder del estudio.

Un hacker de IA al tope del ranking

La startup Xbow, que desarrolla agentes de ciberseguridad automatizados, ha logrado posicionar a su herramienta basada en IA como la número uno en la plataforma de detección de fallas HackerOne. La empresa acaba de recibir 75 millones de dólares en financiamiento, lo que marca un momento clave para la automatización en este sector.

Según Song, estas tecnologías están superando expectativas. Incluso con recursos limitados, los agentes de IA ya generan exploits (pruebas de concepto de fallas de seguridad) de forma automática.

"Si dejáramos correr a los agentes por más tiempo y con más presupuesto, los resultados serían aún mejores", señaló.

¿Aliada o amenaza?

Las pruebas incluyeron modelos de OpenAI, Google, Anthropic y Meta, además de agentes como OpenHands, Cybench y EnIGMA. Aunque los resultados son impresionantes, también muestran que la IA aún no reemplaza la experiencia humana. La mejor combinación de modelo y agente solo detectó alrededor del 2% de las fallas totales.

“Este avance es prometedor, pero no sustituyas todavía a tus cazadores de bugs humanos”,

advirtió Katie Moussouris, experta en seguridad y fundadora de Luta Security.

El dilema ético: quién controla el poder

El riesgo no solo está en las fallas que detectan, sino en cómo y quién utiliza ese conocimiento. La capacidad de automatizar el hallazgo de errores puede ser útil para proteger sistemas, pero también para atacarlos.

“Hoy, encontrar exploits es algo raro, porque requiere habilidades muy específicas. Con IA, eso podría cambiar”,

explicó Brendan Dolan-Gavitt, investigador de Xbow.

Por eso, Song y su equipo han lanzado el Observatorio de Ciberseguridad de las Fronteras de la IA, una iniciativa para monitorear constantemente cómo evolucionan estas capacidades y anticipar posibles riesgos.

Una nueva era en puerta

Aunque la IA aún no es perfecta, ya ha demostrado que puede generar recompensas económicas a través de programas de detección de fallos. En pruebas recientes, el modelo Claude Code, de Anthropic, encontró vulnerabilidades por las que recibió recompensas por más de 13 mil dólares, con costos operativos mínimos.

El mensaje es claro: la IA está transformando la ciberseguridad y, aunque hoy trabaja del lado correcto, el desafío será asegurarse de que siga siendo una aliada.