Ciberataques con IA suben 89% y exponen al sur global

El mes pasado, Anthropic anunció que su nuevo modelo de IA, Mythos Preview, había encontrado miles de vulnerabilidades en "todos los principales sistemas operativos y navegadores web". Cerca de 40 firmas tecnológicas e instituciones tienen acceso inicial al modelo para reforzar sus sistemas, pero la mayoría de bancos centrales y gobiernos quedó fuera, dependiendo de Anthropic, OpenAI y Google para asegurar su infraestructura, según un reportaje de Rest of World publicado el 5 de mayo de 2026.

El acceso a Mythos importa porque los ciberataques se disparan en todo el mundo. Las entidades habilitadas por IA aumentaron sus ataques 89% en 2025 respecto del año anterior, según la firma CrowdStrike. Los agentes de IA encuentran y explotan vulnerabilidades de software mejor que la mayoría de los humanos, y permiten que incluso actores criminales o estatales sin gran capacidad técnica apunten a personas, empresas e infraestructura nacional. El efecto no es simétrico.

"El auge de sistemas de IA altamente capaces en ciberseguridad plantea un desafío real para empresas y países sin muchos recursos", dijo Nick Srnicek, profesor titular en economía digital del King's College de Londres, a Rest of World. "El software ampliamente utilizado (habitualmente estadounidense) se parcha rápido y está menos en riesgo, pero las ofertas más propietarias, típicas de iniciativas de soberanía digital, van a tener dificultades para ver y parchar vulnerabilidades con la velocidad necesaria."

¿Qué cambió entre 2018 y 2025?

En 2018 el tiempo mediano entre la divulgación de una vulnerabilidad y su primera explotación era de 771 días, por lo que las organizaciones tenían más de dos años para corregirla. Para 2024, esa ventana se redujo a cuatro horas. El año pasado, la mayoría de las vulnerabilidades explotadas fueron armadas antes incluso de divulgarse públicamente, según Zero Day Clock, un sitio que mide el tiempo entre la divulgación pública de una falla y su explotación.

"Cuando una firma de software libera un parche de seguridad, la IA puede hacer ingeniería inversa de ese parche, identificar la vulnerabilidad que corrige y generar un exploit armado en minutos", escribió Sergej Epp, fundador de Zero Day Clock. "Los ataques pueden comenzar a propagarse globalmente en horas."

Para Chandramouli Dorai, chief evangelist de soluciones cibernéticas en Zoho Corporation (firma india de software con más de un millón de clientes), un modelo como Mythos es "una ventaja estructural". "Cuando el acceso a un modelo tan poderoso se restringe solo a un puñado de instituciones, las organizaciones que más lo necesitan pueden ser exactamente las que quedan excluidas", dijo a Rest of World.

Cuando una pequeña empresa, un hospital o una entidad pública es vulnerada porque no pudo costear la solución de seguridad adecuada, el daño se propaga a clientes, socios y cadenas de suministro. "La ciberseguridad nunca es un problema aislado; es uno compartido", afirma Dorai. La seguridad "tiene que funcionar para todos, no solo para la cima del mercado".

¿Quién está atacando hoy?

Un índice de cibercrimen de Oxford de 2024 listó a Rusia, Ucrania, China, Estados Unidos y Nigeria como las principales fuentes de delitos como malware, ransom, robo de datos y estafas. Los estadounidenses perdieron al menos USD 10.000 millones en estafas cibernéticas originadas en el sudeste asiático en 2024, según una estimación del gobierno de EE.UU. Los centros de estafa en Myanmar y Camboya usan IA para encontrar más víctimas, principalmente en EE.UU. y Europa.

Días después de que Israel y Estados Unidos comenzaran a atacar Irán, grupos cibernéticos ligados a Teherán golpearon empresas en todo Medio Oriente. Un grupo iraní también reclamó autoría del ataque a la firma estadounidense Stryker el 11 de marzo, causando interrupciones globales. Actores cibernéticos afiliados al régimen iraní han accedido también a sistemas usados por sectores de infraestructura crítica estadounidense, incluyendo agencias municipales de energía, agua y aguas servidas, según CISA.

Un grupo norcoreano vinculado a Lazarus usó herramientas de IA de OpenAI y Cursor para robar hasta USD 12 millones en criptomonedas a víctimas en apenas unos meses.

Incluso Mythos es vulnerable: un grupo de usuarios de Discord obtuvo acceso no autorizado al modelo. OpenAI ya lanzó su respuesta a Mythos y las empresas chinas de IA desarrollan modelos con capacidades similares.

"Dada la velocidad del progreso de la IA, no pasará mucho tiempo antes de que estas capacidades proliferen, potencialmente más allá de actores comprometidos con desplegarlas de manera segura", advirtió Anthropic durante el lanzamiento de Mythos. "Las consecuencias para economías, seguridad pública y seguridad nacional podrían ser severas."

"No se puede parchar para salir del problema"

El avance acelerado de la IA llega en medio de una escasez masiva de profesionales de ciberseguridad. Las estimaciones van de 5 millones en 2024 según ISC2 a casi 85 millones hacia 2030, según el World Economic Forum. La brecha es más amplia en Asia-Pacífico, donde Filipinas, Taiwán e India son blancos frecuentes.

Entre países, "hay una brecha real de capacidad (talento, herramientas y presupuesto) para construir resiliencia cibernética", dijo Dorai. "Esa brecha se va a componer con los años."

Hasta empresas bien financiadas han enfrentado pocos bugs nuevos en años recientes, dijo Alex Stamos, chief product officer de la firma Corridor y exdirector del Stanford Internet Observatory, a Rest of World. Con la IA usada tanto para programar como para encontrar vulnerabilidades, "muchísimas empresas, incluyendo la consulta de su dentista, van a tener que lidiar con bugs nuevos. Es una AI bugocalypse", dijo.

Las organizaciones tienen que asumir que sus sistemas pueden ser comprometidos, construir las protecciones necesarias y planificar resiliencia, incluyendo respaldos, dijo Stamos. "Vamos a tener que gastar colectivamente miles de millones de dólares reescribiendo software", advirtió. "Las organizaciones van a tener que asumir que no pueden parchar para salir del problema."

Una sola empresa de IA o su herramienta, por sofisticada que sea, no resolverá el problema. Desarrolladores de IA, empresas de software, investigadores de seguridad, mantenedores de open source y gobiernos del mundo "tienen todos roles esenciales que cumplir", dijo Anthropic. "El trabajo de defender la ciberinfraestructura mundial podría tomar años."

La Casa Blanca ya rechazó un plan para expandir el acceso a Mythos a unas 70 firmas adicionales, según el Wall Street Journal, una fracción aún pequeña de las que lo necesitan.

"La seguridad no debería ser un lujo", dijo Dorai. "Si los gigantes tecnológicos la tratan como tal, todos vamos a pagar el precio."

Lectura para Chile y la región

La asimetría que describe el reportaje impacta directo a Latam y a Chile. Mientras unas 40 firmas tienen acceso prioritario a Mythos-tier, la mayoría de bancos regionales, ministerios, prestadores de salud y municipios opera sin equipo de seguridad propio o con dotaciones bajo mínimos. El cierre de la brecha pasa por adopción de stacks de seguridad gestionada (MSSP) más que por parches manuales: si la ventana disclosure-a-exploit ya se mide en horas, ningún equipo IT pequeño puede competir con un agente automatizado.