La política estándar de divulgación de vulnerabilidades de software, que establece un plazo de 90 días para publicar un fallo tras su descubrimiento, está perdiendo vigencia debido al auge de la inteligencia artificial en el ámbito de la seguridad informática. Este cambio resulta crucial porque la rapidez con que se descubren y explotan estas vulnerabilidades está aumentando gracias a herramientas automatizadas que pueden analizar el código sin descanso y con gran precisión.
Recientemente, varias distribuciones de Linux se vieron afectadas por vulnerabilidades críticas como Copy Fail y Dirty Frag, que permiten escalar privilegios desde una cuenta local a administrador. Estas vulnerabilidades se hicieron públicas en menos de dos semanas, mucho antes del límite de 90 días que normalmente se respeta para permitir el desarrollo y despliegue de parches con margen suficiente.
Cómo la inteligencia artificial redefine la gestión de vulnerabilidades de software
El investigador en seguridad Himanshu Anand ha señalado en un análisis detallado que la política de 90 días queda obsoleta en un entorno en que los ataques y descubrimientos se apoyan en modelos de lenguaje a gran escala (LLM, en inglés). Estos modelos no son necesariamente más inteligentes que un experto humano, pero pueden escanear y analizar patrones en el código de forma constante, sin pausas, identificando malas prácticas de programación que suelen ser la raíz de la mayoría de las vulnerabilidades.
Actualmente, los atacantes también emplean inteligencia artificial para localizar fallos en el código simultáneamente, lo que reduce drásticamente el margen de tiempo entre el descubrimiento de una vulnerabilidad y su explotación real.
Un ejemplo ilustrativo fue la experiencia personal de Anand, quien reportó a una tienda online una vulnerabilidad que permitía comprar objetos caros al precio de cero. Se sorprendió al descubrir que otros diez investigadores habían reportado la misma falla en las semanas anteriores, lo que sugiere que el uso de modelos automáticos de análisis se está convirtiendo en una práctica común. Además, profesionales de la seguridad menciona que la presentación de informes duplicados de fallos se ha vuelto frecuente pocos días después de descubrir una vulnerabilidad nueva.
Implicaciones para desarrolladores y administradores
En respuesta a esta realidad, Anand recomienda integrar modelos de lenguaje a gran escala en las fases de desarrollo, despliegue y revisión de dependencias. Así, los equipos podrán detectar y mitigar fallos antes de que sean explotados. También subraya que la tradicional planificación de ciclos mensuales de publicación de parches ya no es eficiente, dado que un exploit puede generarse en menos de media hora como probó con una vulnerabilidad del framework React.
Por esta razón, aconseja que todo fallo de seguridad crítico se trate como prioritario y se solucione en cuanto sea detectado, ya que se debe asumir que la vulnerabilidad ya está siendo aprovechada por atacantes.
En términos prácticos, revisar descripciones CVE tras la publicación de una vulnerabilidad ya implica llegar tarde, porque los atacantes acceden directamente a los cambios en el código fuente.
El doble filo del código abierto y el reto para software cerrado
Paradójicamente, el software de código abierto, que tradicionalmente se ha considerado más seguro al contar con revisiones públicas y colaborativas, se enfrenta ahora al desafío de que la inteligencia artificial también facilita la detección rápida de vulnerabilidades antes de que se desplieguen parches.
No obstante, sus comunidades suelen responder con rapidez para crear y distribuir correcciones, como demostró Mozilla aplicando 423 parches de seguridad en un solo mes. En contraste, el software propietario se ve igualmente vulnerable porque las mismas técnicas automatizadas pueden descompilar su código y realizar análisis de red para descubrir fallos.
Estos avances sugieren que empresas como Microsoft, Apple o Google podrían experimentar en breve incidentes similares a los recientes problemas con Copy Fail.
El análisis de Anand ilustra un cambio de paradigma en la seguridad de la tecnología: la inteligencia artificial no solo acelera la identificación de errores, sino que obliga a replantear la gestión de vulnerabilidades para proteger sistemas críticos en un contexto donde los plazos y protocolos convencionales son insuficientes.
