Hay una gran preocupación por 'Mitos', el modelo más reciente de la empresa estadounidense de IA Anthropic. Se sabe que este modelo es muy fuerte para encontrar fallos de seguridad. También se dijo que puede calcular por sí mismo incluso la ruta de ataque, sin ayuda de personas. Según los reportes, esta IA encontró incluso un fallo del sistema operativo que los expertos no habían detectado durante 27 años. Se dice que el costo fue de unos 50 dólares. Por eso, crece la advertencia de que instalaciones importantes como la red eléctrica, el sistema de agua y el sistema bancario pueden convertirse en objetivo de ataques. Por este riesgo, Anthropic no hizo público Mitos. En cambio, empezó un proyecto para probar sistemas de defensa mostrándolo de forma limitada solo a unos 40 lugares, como Apple y Google. Mientras el mundo entero está en tensión, JTBC informó que el gobierno de Corea también comenzó una respuesta de emergencia.
원문 보기Lo que da miedo de Mithos no es lo que 'dice', sino lo que 'hace'
Cuando lo escuchas por primera vez, puedes pensar así: ya antes se decía muchas veces que "la IA es peligrosa", entonces, ¿qué tiene de diferente esta vez? Pero el punto central de la polémica de Mithos no es un chatbot que responde bien, sino una IA tipo agente que actúa enlazando varias etapas de hackeo cuando recibe un objetivo.
La IA conversacional común es buena para recibir preguntas, escribir textos o explicar código. En cambio, en los reportajes y materiales explicativos sobre Mithos se destacan funciones como detección de vulnerabilidades (encontrar los puntos débiles del sistema), inferencia de rutas de ataque (calcular por dónde entrar y cómo expandirse) y elegir una ruta alternativa si falla. Dicho de forma simple, no parece "el bloc de notas de un hacker humano", sino más bien "un jugador de ajedrez que sigue eligiendo la siguiente jugada".
Por eso incluso aparecen palabras fuertes como "arma de ciberterrorismo". La razón de que sea peligroso no es que la IA se vuelva de repente un demonio, sino que puede empujar un proceso de hackeo que antes era difícil, caro y lento de una forma mucho más barata y rápida. Este cambio no se entiende mejor como una historia de película de terror, sino como una situación en la que de repente se abrió una brecha de velocidad en la seguridad.
La esencia de la preocupación por Mithos no es "la IA es inteligente", sino que sigue eligiendo etapas por sí sola.
Es decir, se habla del momento en que la naturaleza del riesgo pasa de "respuestas dañinas" a "automatización de ataques reales".
Si ponemos lado a lado un chatbot normal y Mithos, ¿qué cambia?
| Elemento | Chatbot normal | IA de hackeo autónoma como Mithos |
|---|---|---|
| Objetivo principal | Responder preguntas, resumir, escribir, ayudar con código | Detección de vulnerabilidades, cálculo de rutas de ataque, automatización del proceso de intrusión |
| Cómo funciona | Reactivo, responde a lo que escribe el usuario | Tipo agente, si le das un objetivo conecta varios pasos |
| Respuesta ante fallos | Si preguntas de nuevo, responde otra vez | Si te bloqueas, puedes buscar otra ruta y cambiar la siguiente acción |
| Riesgos principales | Generación de información dañina, respuestas incorrectas | Aumento de la velocidad de ataque a sistemas reales, baja de la barrera de entrada |
| Forma de despliegue | Hay muchos servicios para el público | Publicación limitada, centrado en pruebas con socios seleccionados |
La frase 'encuentra por sí mismo la ruta de ataque' en el hacking va así
El hacking normalmente no termina de una vez. Es un proceso de abrir varias puertas una por una, y la IA autónoma está más cerca de intentar organizar esa secuencia por sí sola.
Paso 1: reconocimiento
Primero reúne información del sistema. Mira qué sistema operativo usa, qué servicios están abiertos y dónde hay equipos antiguos. Es fácil entenderlo como la etapa en la que un hacker humano abre el mapa.
Paso 2: modelado del entorno
Con la información reunida, plantea la hipótesis de 'qué debilidad puede haber aquí'. Aquí entra una idea como el grafo de ataque (mapa que dibuja las rutas posibles de infiltración).
Paso 3: creación de rutas posibles
No mira solo una vulnerabilidad, sino que prueba varias rutas que siguen desde la infiltración inicial hasta la elevación de privilegios, el robo de credenciales y el movimiento interno. En el hacking, lo realmente peligroso es esta 'conexión'.
Paso 4: elegir la siguiente acción
Elige la siguiente jugada con más probabilidad de éxito. Si las herramientas automáticas de antes eran más como 'ejecutar un botón ya definido', el agente autónomo intenta llegar hasta 'ver la situación y elegir el siguiente botón'.
Paso 5: desvío si falla
Si una ruta se bloquea, no termina ahí, sino que puede volver a calcular otro camino. Por eso se dice que el riesgo crece más por la propagación interna que por una sola vulnerabilidad.
Paso 6: lograr el objetivo
Al final avanza hacia objetivos como robo de datos, caída del servicio o tomar el control. O sea, se entiende más como un 'ejecutor de ataques que se mueve parcialmente por sí mismo' que como una simple 'herramienta'.
Las vulnerabilidades se acumulan, pero ¿por qué al equipo de defensa cada vez le falta más aire?
Los números de abajo muestran cuánto se desajustan la 'velocidad de descubrimiento' y la 'velocidad de análisis y respuesta'. Puedes entender que cuanto más grande es el valor, mayor es la carga operativa.
El atacante solo necesita encontrar un punto, pero el defensor tiene que proteger todo
| Clasificación | Cambios del lado del atacante | Carga del lado del defensor |
|---|---|---|
| Detección de vulnerabilidades | Con IA, se pueden encontrar más rápido y más barato incluso fallos ocultos durante mucho tiempo | Aumenta mucho la lista que hay que clasificar para ver qué es realmente peligroso |
| Condición para tener éxito | Si se abre una sola parte, ya se puede pasar al siguiente paso | Hay que revisar todos los activos continuamente y decidir prioridades |
| Velocidad de parcheo | Al atacante le basta con moverse primero antes del parche | El defensor tiene que terminar corrección, despliegue y verificación |
| Objetivos vulnerables | Es fácil apuntar a equipos heredados, OT, sistemas embebidos y equipos que no se pueden parchear | En sistemas que no se pueden detener, el reemplazo y los parches de seguridad son especialmente difíciles |
| Resultado | Baja la barrera de entrada para la infiltración | La operación de seguridad pasa de ser un problema de "descubrir" a un problema de "cuello de botella en el tratamiento" |
Hay una razón por la que siempre se mencionan primero la red eléctrica, el agua y los bancos
Que estos campos den miedo no es solo por ideas de película. Los hechos reales de la historia han mostrado una y otra vez que "los ataques digitales pueden detener las funciones de la sociedad".
Década de 1960: expansión de SCADA
Se extendió SCADA (sistema de control remoto de instalaciones industriales), que permite vigilar y controlar a distancia instalaciones amplias como electricidad, agua y gas. En ese momento, la idea de diseño estaba más cerca del funcionamiento estable y la eficiencia que de la seguridad.
1996: institucionalización del concepto de infraestructura crítica
La orden ejecutiva EO 13010 de Estados Unidos reunió electricidad, finanzas, agua y transporte como infraestructuras clave que el Estado debía proteger. Es un punto de inicio que muestra a nivel de política por qué siempre se mencionan primero estos campos.
2010: impacto de Stuxnet
Stuxnet (código malicioso dirigido a sistemas de control industrial) mostró que no solo se puede robar información dentro de una computadora, sino también dañar instalaciones físicas reales. Fue un punto de cambio que mostró que un ataque cibernético puede afectar máquinas del mundo real.
2015: hackeo de la red eléctrica de Ucrania
Hubo un apagón real. Quedó claro que, si hackean la red eléctrica, no solo hay molestias, sino que puede tambalearse el funcionamiento de toda la sociedad.
2021: caso del oleoducto Colonial
Un ataque a la red informática de trabajo llevó a problemas en el suministro de combustible. Fue un caso que mostró cuánto están conectadas en la práctica IT y OT, es decir, la red de computadoras de oficina y la red de instalaciones operativas.
Década de 2020: seguridad centrada en la resiliencia
Ahora se considera que ya no basta solo con "evitar que entren". Lo importante es qué tan rápido se recupera todo después de un ataque y cómo se mantienen las funciones sociales, es decir, la resiliencia (resilience).
Entonces, ¿por qué las infraestructuras son tan débiles? Comparación de vulnerabilidades de la red eléctrica, el agua y los bancos
| Sector | Por qué se menciona primero | Por qué es vulnerable |
|---|---|---|
| Red eléctrica | Si hay un apagón, el impacto en cadena llega hasta industria, transporte y comunicaciones | Dependencia de sistemas de control industrial, equipos antiguos y necesidad de operar sin interrupción |
| Sistema de agua | Está conectado directamente con la salud pública y la supervivencia diaria | Equipos de control remoto, envejecimiento de los equipos en campo y dificultad para reemplazar e inspeccionar |
| Bancos y finanzas | Si se alteran los pagos y el movimiento de fondos, la inestabilidad económica se extiende de inmediato | Se mezclan redes informáticas heredadas con servicios modernos, y la conectividad mutua es alta |
Entonces, ¿por qué mostrar esta IA solo a algunas empresas?
| Elemento | Open-weight · apertura amplia | API · distribución limitada a socios seleccionados |
|---|---|---|
| Ventajas | validación de investigación, expansión de la innovación, mayor accesibilidad | seguimiento de uso, límite de velocidad, sanciones de cuenta, y reflejar actualizaciones es fácil |
| Debilidades | una vez que se libera, es casi imposible recuperarlo y controlarlo | concentración de poder en empresas, posible falta de transparencia en los criterios |
| Criterios para decidir la distribución | se da importancia a la apertura y a la expansión del ecosistema | se da más importancia a evaluar riesgos como abuso cibernético, comportamiento autónomo y evasión de medidas de seguridad |
| Contexto de Mythos | si se hace público para todos, el impacto del mal uso puede ser demasiado grande | un enfoque de probar primero con empresas seleccionadas y revisar antes el sistema de defensa |
Lo que de verdad debe hacer el gobierno no es 'prohibir la IA', sino reformar la velocidad de respuesta
Aunque llegue una amenaza así, no se resuelve solo con una ley. La respuesta real necesita mover varios frentes al mismo tiempo.
Paso 1: volver a clasificar las amenazas
Hay que poner las características de la IA dentro del marco actual de amenazas cibernéticas. Porque hay que gestionar por separado cosas nuevas como la seguridad del propio modelo, la protección de los datos de entrenamiento y los reportes de incidentes de IA.
Paso 2: ordenar la ley y los criterios de compras públicas
El gobierno debe incluir el principio de 'secure by design(diseñado de forma segura desde el principio)' en las compras públicas y en la regulación. Para que sea efectivo, deben entrar requisitos de seguridad en todo el ciclo: desarrollo, distribución, operación y eliminación.
Paso 3: mejorar el sistema de intercambio de información entre sector público y privado
Si la IA encuentra vulnerabilidades más rápido, las empresas y el gobierno también deben compartir más rápido la información de incidentes y las señales. Compartir tarde puede llevar de inmediato a una expansión del daño.
Paso 4: aumentar la velocidad de detección y respuesta con IA
Si los atacantes usan IA, el lado de la defensa también debe reforzar el análisis basado en IA y la respuesta automática. Solo con personas ya es difícil seguir una competencia de velocidad que va por minutos.
Paso 5: diplomacia y cooperación internacional
Ya han salido advertencias de que actores estatales usan IA en guerra de información y ciberataques. Por eso es importante la diplomacia para que los países aliados alineen criterios de evaluación, información de incidentes y normas comunes.
Paso 6: personal y entrenamiento
Por último, lo que siempre se suele olvidar es el tema de las personas. La seguridad de IA no termina solo con comprar herramientas. Hace falta personal que pueda operarlas de verdad, verificarlas y reducir errores de juicio.
Que una tecnología de defensa se convierta en tecnología de ataque, en realidad no es algo nuevo
Aunque Mythos parezca algo extraño, si vemos la gran tendencia, no es una historia totalmente nueva. La tecnología de seguridad siempre ha avanzado con doble uso(buen uso y mal uso al mismo tiempo).
Antigüedad~edad moderna: el cifrado era originalmente una tecnología estatal
La criptografía se desarrolló antes como tecnología para proteger secretos militares y diplomáticos que como aplicación de mensajería personal. O sea, desde el principio estaban unidos la defensa y la guerra de información.
Primera mitad del siglo 20: equipos de cifrado y guerra de descifrado
El mismo sistema de cifrado fue para un lado un escudo, y para el otro un objetivo que había que romper sí o sí. La competencia de equipos de cifrado en tiempos de guerra muestra muy claramente las dos caras de la tecnología de seguridad.
Década de 1970: expansión de la criptografía de clave pública
La tecnología de seguridad salió del ámbito militar y se extendió a redes civiles y servicios comerciales. Cuanto más crecían los buenos usos, más crecía también su sensibilidad como tecnología estratégica.
Década de 1990: guerras del cifrado
Se consideraba que el cifrado fuerte era una forma de proteger a la gente, pero al mismo tiempo hacía más difícil el control del Estado. Es un caso donde un problema técnico pasó directamente a ser un problema político y del sistema.
Años 2000~actualidad: mal uso de herramientas de red team
Herramientas como Cobalt Strike o Metasploit eran originalmente para pruebas de penetración y entrenamiento de defensa. Pero los atacantes reales también usaron las mismas herramientas. La polémica de Mitos se puede ver como una escena donde este patrón sube al nivel de la IA.
Por eso, el shock de Mitos no es una 'película de terror de IA', sino una señal de que empezó una carrera de velocidad en seguridad
En resumen, es esto. No significa que Mitos sea un monstruo que vaya a destruir el mundo ahora mismo. La información pública todavía es limitada, y también puede haber algo de exageración en los reportes de prensa. Pero incluso teniendo eso en cuenta, lo que está claro es que el mundo se está moviendo hacia una mayor rapidez en encontrar vulnerabilidades y unirlas.
Este cambio está más cerca de nuestra vida de lo que parece. Si se corta la electricidad, falla el suministro de agua, se detiene el sistema informático del banco, o los sistemas antiguos de una empresa o un hospital no logran seguir los parches, al final quienes sufren la incomodidad son los ciudadanos. Por eso este tema no es solo una 'noticia interna del sector de IA', sino también una historia sobre el aumento del costo de mantener la infraestructura diaria.
En adelante, la pregunta importante estará más cerca de 'quién se adapta más rápido' que de 'si se puede detener a la IA'. Los atacantes ganan velocidad, y los defensores tienen que reducir los cuellos de botella. Lo más realista es leer el shock de Mitos como precisamente esa señal de inicio.
La esencia de la polémica de Mitos no es el miedo a la IA en sí, sino el aumento de la velocidad de la automatización del hackeo.
Por eso, la solución se acerca más a parches rápidos, intercambio de información, resiliencia y cooperación internacional que a la prohibición.
Te contamos cómo vivir en Corea
Por favor, den mucho amor a gltr life