Mitos y el costo de atacar

Por qué el costo sigue siendo importante en la era de la inteligencia barata

Hace dos semanas, Anthropic anunció el Proyecto Glasswing y otorgó a un pequeño grupo de socios de lanzamiento, incluidos Microsoft, Google y CrowdStrike, junto con unas cuarenta otras organizaciones de infraestructura crítica, acceso anticipado a un modelo llamado Claude Mythos Preview. Anthropic dijo que Mythos era demasiado peligroso para lanzarlo públicamente. En las semanas previas al anuncio, ya había detectado miles de vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores, incluyendo un error de 27 años en OpenBSD.¹ El mercado reaccionó como suelen hacerlo los mercados ante noticias existenciales: las acciones de los principales proveedores de ciberseguridad cayeron hasta un diez por ciento por temor a que el descubrimiento de vulnerabilidades a escala de IA convierta en mercancía el trabajo de las herramientas de seguridad tradicionales.² Ese mismo día, la Secretaria del Tesoro Bessent y el presidente de la Fed Powell convocaron a los CEOs de los bancos más grandes de EE.UU. para hablar al respecto.³

Entonces: ¿es Mythos el fin de la industria de la ciberseguridad, el comienzo de una nueva, o una pieza bien ejecutada de relaciones públicas de Anthropic? Creo que no es ninguna de esas. Para entender por qué, ayuda retroceder veinte años.

La idea más antigua en defensa

A mediados de la década de 2000, formaba parte del equipo de seguridad en General Electric, defendiendo lo que entonces era uno de los mayores proveedores de la base industrial de defensa del país. Hablábamos constantemente de una idea, y eso moldeó todo lo que hacíamos: aumentar el costo de atacarnos.

Esa idea pertenecía a una generación de defensores, personas como mis colegas Richard Bejtlich y David Bianco, y el equipo de Mandiant al que me uní después, quienes argumentaban que la prevención perfecta era imposible, pero que la defensa seguía siendo un juego que podías ganar si hacías que atacar fuera lo suficientemente costoso como para que tu adversario se rindiera y siguiera adelante.⁴ La Pirámide del Dolor de Bianco⁵ formalizó la intuición. Algunos indicadores de compromiso cuestan casi nada a los atacantes para evitarlos; un hash de archivo, por ejemplo, cambia con un solo byte. Otros les cuestan mucho, obligándolos a rehacer herramientas, reentrenarse o reconstruir infraestructura. Cuanto más los empujabas hacia arriba en la pirámide, más doloroso y, por lo tanto, más raro se volvía el ataque.

Aumentar los costos tomó muchas formas. Publicar indicadores de alta fidelidad que obligaron a los atacantes a cambiar sus herramientas. Exponer familias de malware para que los adversarios tuvieran que escribir nuevos. Quemar infraestructura para que el mando y control tuviera que ser reconstruido. El mejor ejemplo fue el informe APT1 de 2013 en Mandiant, que nombró y expuso públicamente a un grupo patrocinado por el estado chino, de modo que tuvieron que rehacer sus herramientas desde cero. Durante años después, APT1 fue un caso ejemplar de defensa como economía.

Todo el modelo, detectar rápido, responder bien, hacer que el atacante pague para volver, se basaba en una suposición tácita: que el trabajo del atacante era lento y humano. El reconocimiento tomaba semanas. El desarrollo de exploits tomaba meses. La infraestructura requería dinero y habilidad. Si podías hacer que cualquiera de eso fuera más caro, ganabas.

Lo que Mythos realmente cambia

Mythos (y francamente todos los modelos capaces de los últimos dieciocho meses), hace lo contrario de aumentar los costos. Los reduce drásticamente. Analizar el software de un objetivo en busca de vulnerabilidades, sondear una aplicación web en busca de entradas no sanitizadas, establecer infraestructura de mando y control, redactar el señuelo de phishing: cada etapa del ciclo de vida del atacante que antes requería tiempo y talento especializado ahora funciona a la velocidad del modelo.

Aunque Mythos está recibiendo atención, la empresa de seguridad Aisle probó las vulnerabilidades presentadas por Mythos contra modelos pequeños, baratos y de pesos abiertos, y encontró que la mayoría del análisis subyacente era repetible. Los seis modelos que probaron detectaron el exploit principal de FreeBSD en al menos una de tres pruebas, incluyendo uno con 3.6 mil millones de parámetros a aproximadamente cinco centavos por millón de tokens. Su argumento es que la capacidad de ciberseguridad de IA es irregular; no escala suavemente con el tamaño del modelo, y el verdadero foso es el sistema y la experiencia que rodean al modelo, no el modelo en sí.⁶Mythos no es un punto de inflexión tanto como una confirmación de que la inflexión ya ocurrió, silenciosamente, a lo largo de una generación de modelos más baratos.

Creo que esto también está empezando a reflejarse en los datos. El informe Mandiant M-Trends 2026, basado en más de 500,000 horas de trabajo de respuesta a incidentes en 2025, documenta que el tiempo medio global de permanencia aumentó de 11 a 14 días, el primer aumento significativo tras una década de compresión constante desde 146 días en 2015.⁷ Más sorprendente aún, el tiempo medio entre que un intermediario de acceso inicial compromete un entorno y se lo entrega a un actor de amenaza secundario (normalmente un operador de ransomware) se redujo de más de ocho horas en 2022 a 22 segundos en 2025. Veintidós segundos no son suficientes para que un analista SOC lea la alerta, y mucho menos para actuar sobre ella. Las explotaciones siguen siendo el principal vector de infección inicial por sexto año consecutivo, representando el 32% de las intrusiones, y también documentaron familias de malware como PROMPTFLUX y PROMPTSTEAL que consultan modelos de lenguaje grandes durante la ejecución para evadir la detección. El ladrón de credenciales QUIETVAULT incluso escanea máquinas comprometidas en busca de herramientas de IA locales para usarlas contra sus propietarios. A crédito de Mandiant, no culpan a la IA por todo esto. Expresamente dicen que la mayoría de las brechas todavía provienen de fallos humanos y sistémicos, no de la capacidad de la IA. Pero la tendencia está empezando a moverse, ya que el costo de la compromisión sigue disminuyendo.

Estos modelos han estado ampliamente disponibles durante dieciocho meses, pero los atacantes son organizaciones humanas; se adaptan en tiempos humanos. Los manuales deben ser reescritos, las técnicas deben ser probadas, los operadores deben ser entrenados. Los próximos años, no los últimos dieciocho meses, serán cuando veremos qué sucede cuando un adversario maduro haya internalizado completamente estas herramientas.

Los defensores también pueden usar estas herramientas, y lo hacen. La lectura optimista es que los defensores en realidad tienen la ventaja: poseen su entorno, su telemetría, sus líneas base y pueden ejecutar modelos continuamente contra un estado conocido como bueno. Esa es la verdad, y por eso no creo que Mythos termine con nuestra industria. Pero subestima la asimetría estructural que siempre ha estado presente en la ciberseguridad: el atacante solo necesita un camino para tener éxito; el defensor debe cerrar todos ellos. La inteligencia barata hace que buscar caminos sea mucho más barato, mientras que cerrarlos aún requiere un cambio coordinado entre personas, procesos y tecnología. La curva de costos del atacante cae más rápido que la del defensor.

Pero la asimetría más profunda no se trata solo de quién tiene el modelo más rápido. Se trata de quién puede practicar, iterar y aprender, cosas en las que los LLM son realmente buenos. Un atacante con inteligencia barata y rápida puede iterar mil veces al día. Puede probar una variante de phishing, ajustarla, intentarlo de nuevo, explorar una ruta de identidad diferente, reintentar desde otro ángulo y seguir adelante a costo de máquina sin cuellos de botella humanos. Tienen prácticamente intentos ilimitados. El defensor, en cambio, aprende principalmente de incidentes reales y simulaciones limitadas. No pueden ejecutar miles de ataques realistas contra su propio entorno con la misma fidelidad, y aún así a menudo encuentran las grietas como siempre lo han hecho, después de que el atacante lo hizo. Esa brecha, entre el ciclo de iteración del atacante y el ciclo de aprendizaje del defensor, es lo que la IA amplía más.

El punto de inflexión

Durante la mayor parte de mi carrera, el consenso en nuestra industria ha sido alguna versión de: el compromiso es inevitable, así que invierte en detección y respuesta rápida. Es una buena doctrina. Construyó empresas como CrowdStrike y Mandiant, y salvó a las organizaciones mucho dinero y reputación.

Pero creo que esa doctrina está llegando a su límite. Cuando el ciclo OODA del atacante se comprime de semanas a segundos, "detectar y responder" se convierte en una carrera que el defensor no puede ganar de manera confiable. No porque las herramientas sean malas, sino porque el tiempo se acaba antes de que un humano pueda tomar una decisión. Para ser claros, la prevención siempre ha sido una categoría amplia: EDR, seguridad de correo electrónico, WAF, MFA, gestión de parches. La afirmación no es que la industria lo haya ignorado. La afirmación es que el nivel de prevención debe avanzar, pasando de bloquear firmas conocidas como malas a predecir la intención del atacante a partir del comportamiento, y ese es un problema de ingeniería diferente que nadie en nuestra categoría ha resuelto completamente.

Cómo esto afecta lo que estamos construyendo

En Netwrix, nos hemos centrado en la prevención con la mejor suite de soluciones de datos e identidad en la industria: gobernanza de identidad, acceso privilegiado, seguridad de directorios y gestión de la postura de seguridad de datos. Lo que está cambiando ahora es cómo usamos la telemetría que esos productos recopilan. Estamos apostando fuerte por la predicción.

Así es como se ve eso en la práctica. Nuestra plataforma DSPM clasifica los datos sensibles en el entorno de un cliente: qué existe, qué está expuesto, quién tiene acceso y qué identidades realmente lo han tocado. En un modelo tradicional, mostramos ese inventario y señalamos las violaciones de políticas después del hecho.

Lo que estamos construyendo es diferente. Cuando una cuenta que nunca ha accedido a esa clase de datos toca un archivo que contiene PII regulada o credenciales, ese acceso destaca. Añade un permiso recientemente escalado, o una identidad cuyo rol no tiene razón para acceder a esos datos, y la combinación merece ser interrumpida antes de que se convierta en exfiltración. Cada señal por separado podría estar permitida, pero juntas describen una intención.

El tipo de actor es casi secundario. Una sesión de administrador privilegiada, una cuenta de servicio comprometida y un agente de IA que ha recibido más alcance del que sus propietarios pretendían pueden producir el mismo patrón de comportamiento contra un conjunto de datos sensible. Nuestro trabajo es reconocer ese patrón y actuar antes de que algo salga.

Ese es el tipo de señal que creemos que la predicción debe significar en esta era. Entregarla bien significa usar el modelo correcto para el trabajo correcto. Los LLM de propósito general son extraordinarios razonando sobre contextos desordenados, y confiamos mucho en ellos donde eso importa. Junto a ellos, nuestro equipo de I+D está creando modelos diseñados específicamente para los casos de uso que hacemos mejor. Clasificar si un acceso a datos sensibles encaja en el patrón establecido de una identidad, puntuar comportamientos anómalos contra una línea base aprendida, decidir en milisegundos si revocar un token. Estas son tareas donde la latencia, el determinismo y los datos de entrenamiento adecuados importan más que el conocimiento general del mundo. Ambos flujos de trabajo están en marcha.

Veinte años después

Mythos no cambió lo que es la defensa, pero cambió los precios. Las cosas que antes eran caras para un atacante, encontrar una vulnerabilidad, escribir el exploit, crear el señuelo, ahora son baratas. Las cosas que antes eran prohibitivamente difíciles para un defensor, leer la intención a partir del comportamiento antes de que se cause daño, finalmente están siendo posibles. Nuestro trabajo, el trabajo de toda la industria, es asegurarnos de que la segunda curva mantenga el ritmo con la primera.

Referencias

1. Anthropic, “Proyecto Glasswing: Asegurando software crítico para la era de la IA,” abril de 2026.

2. Fortune, “Anthropic está dando a algunas empresas acceso anticipado a Claude Mythos para fortalecer las defensas de ciberseguridad,” 7 de abril de 2026.

3. The Hill, “El Mito de Anthropic pone a DC y Wall Street en máxima alerta,” abril de 2026.

4. Richard Bejtlich, “Divulgación completa para herramientas de atacantes,” TaoSecurity, junio de 2010. https://taosecurity.blogspot.com/2010/06/full-disclosure-for-attacker-tools.html

5. David Bianco, “La Pirámide del Dolor,” Enterprise Detection & Response, marzo de 2013.https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

6. Stanislav Fort, “Ciberseguridad de IA después de Mythos: La frontera irregular,” AISLE, 7 de abril de 2026. https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier

7. Mandiant, “M-Trends 2026,” abril de 2026.