La historia de Claude Mythos encontrando una vulnerabilidad de 27 años en OpenBSD tiene todos los ingredientes para inflarse rápido: una IA de frontera, un sistema operativo famoso por su obsesión con la seguridad, bancos asustados y la Casa Blanca interviniendo para decidir quién puede usar el modelo. Es una noticia hecha a medida para titulares dramáticos. Pero debajo del ruido hay una señal real: no estamos frente a una magia nueva, sino frente a una aceleración fuerte de algo que ya existía.
Las vulnerabilidades no aparecen porque una IA las mire. Estaban ahí antes. Lo que cambia es la velocidad, el costo y la cantidad de gente capaz de buscarlas. Hasta hace poco, encontrar un bug profundo en software crítico era trabajo de especialistas caros, pacientes y escasos. Si un modelo puede acercarse a ese nivel en minutos u horas, aunque no lo haga perfecto, el equilibrio cambia. No porque reemplace al investigador de seguridad, sino porque multiplica los intentos.
Ahí está el punto que conviene tomar en serio. Hay hype, sí. Las empresas de IA tienen incentivos enormes para presentar cada avance como un antes y un después, y muchas de estas historias llegan filtradas por benchmarks, demos y programas de acceso controlado. Pero sería cómodo descartarlo todo como marketing. La parte preocupante no es que un modelo sea “demasiado peligroso” en sentido cinematográfico. La parte preocupante es que la industria ya tenía más software vulnerable del que podía mantener, y ahora puede aparecer evidencia de esas fallas mucho más rápido de lo que se pueden corregir.
Para una empresa normal, esto no significa entrar en pánico ni imaginar ataques autónomos perfectos. Significa aceptar que la seguridad basada en “nadie va a mirar tan de cerca” se vuelve cada vez menos defendible. Los sistemas viejos, las dependencias abandonadas, los parches demorados y las configuraciones que nadie revisa dejan de estar protegidos por la oscuridad. La IA no convierte cada bug en una catástrofe, pero achica el margen de tiempo entre descubrir una falla y explotarla.
Mi lectura es que esto es más importante que espectacular. No hace falta comprar el relato completo de Mythos para ver la dirección. La seguridad informática entra en una etapa donde encontrar problemas se abarata, pero arreglarlos sigue siendo lento, humano y organizacional. El cuello de botella no va a ser la inteligencia artificial. Va a ser la capacidad de las empresas para mantener en serio el software del que dependen.