La evolución acelerada de la inteligencia artificial está transformando la forma en que concebimos la ciberseguridad. Más allá de su impacto en la productividad y el negocio, estos avances están redefiniendo la naturaleza del riesgo digital y plantean nuevos desafíos para las organizaciones.
Este fue el eje central del encuentro “Cuando la IA aprende a hackear: el caso Mythos”, realizado por PwC Colombia y Palo Alto Networks, en el que expertos en ciberseguridad analizaron cómo los modelos de inteligencia artificial de última generación están comenzando a mostrar capacidades ofensivas cada vez más sofisticadas, capaces de acelerar y escalar los ataques digitales.
En este contexto se abordó el caso Mythos, que permite explorar un escenario crítico: qué ocurre cuando sistemas de inteligencia artificial avanzados desarrollan capacidades ofensivas que no habían sido previamente consideradas. A partir de este análisis, se visibilizan escenarios más avanzados de identificación de vulnerabilidades y de ataque, lo que convierte a Mythos en una advertencia sobre los nuevos riesgos asociados a la inteligencia artificial aplicada al hacking, así como en un punto de partida para reflexionar sobre cómo anticiparlos y contrarrestarlos.
Uno de los hallazgos más relevantes de este caso es su capacidad para identificar vulnerabilidades que habían permanecido ocultas durante años en tecnologías ampliamente utilizadas. En algunos casos, se trata de fallos con más de 15 e incluso 20 años de antigüedad, presentes tanto en sistemas operativos como en su núcleo y en otros componentes de software usados a escala global. Vulnerabilidades que habían superado millones de pruebas previas fueron detectadas y explotadas en cuestión de semanas, e incluso minutos.
“Estamos viendo cómo modelos de inteligencia artificial de frontera son capaces de encontrar vulnerabilidades históricas y de crear códigos de explotación funcionales en tiempos extremadamente cortos. Esto cambia por completo la velocidad y el impacto de los ataques digitales y expone el reto de gestionar múltiples superficies y vectores de ataque, lo que hace indispensable que las organizaciones se preparen desde ahora», explicó André Falcão, GSI Systems Engineer en Palo Alto Networks.
El análisis también evidenció un cambio significativo en los tiempos de ejecución de los ataques. Procesos que antes requerían semanas o meses de trabajo manual por parte de un atacante especializado hoy pueden realizarse de forma automatizada. La inteligencia artificial permite no solo identificar posibles puntos de entrada, sino priorizar vulnerabilidades, generar ataques adaptados al contexto y modificar los intentos de intrusión cuando estos son detectados y bloqueados.
Desde esta perspectiva, el riesgo deja de ser aislado o puntual y se convierte en un desafío estructural. Si estas vulnerabilidades existen en plataformas y proveedores tecnológicos de alcance global, el impacto potencial se extiende a todo el ecosistema digital, incluyendo infraestructuras críticas y servicios financieros.
Frente a este panorama, Carlos Andrés Rodríguez, director de Ciberseguridad y Privacidad de PwC Colombia, advirtió que este escenario exige un cambio de enfoque en la forma en que las organizaciones conciben la inteligencia artificial. “La IA no solo está transformando la productividad y el negocio, sino también el riesgo. Por eso, las organizaciones deben evolucionar en la velocidad y efectividad con la que protegen su operación, incorporando modelos más seguros, resiliencia operativa y una mayor automatización de la defensa” señaló.
El encuentro coincidió en que el acceso de actores maliciosos a este tipo de capacidades no es una posibilidad remota, sino una cuestión de tiempo. Por ello, las organizaciones deben prepararse para un entorno en el que la detección y la respuesta deben producirse en minutos, y no en días o semanas. Reducir la exposición al riesgo, fortalecer la gestión de identidades —incluidas identidades no humanas y agentes de inteligencia artificial— y reforzar la seguridad desde el desarrollo de software se convierten en prioridades estratégicas.
El caso Mythos confirma que la inteligencia artificial aplicada al hacking ya no pertenece a un escenario futuro, sino a una realidad emergente que redefine los desafíos del riesgo digital y obliga a repensar, desde hoy, las estrategias de ciberseguridad.