Nueva York.- Era un error de software capaz de provocar la caída de un sistema operativo utilizado por cortafuegos, servidores y dispositivos de red. Pasó desapercibido durante más de 27 años.

Fue detectado el mes pasado por Mythos, el modelo de IA más reciente de Anthropic, que tiene asustada a la Casa Blanca, a ejecutivos bancarios y a profesionales de la ciberseguridad en todo el mundo.

Bienvenidos al apocalipsis de los errores de software. Modelos de IA como Mythos y otros están encontrando errores en software antiguo a un ritmo sin precedentes.

Aunque la mayoría de los problemas de programación puede ser menores, su volumen ha elevado el riesgo de que los desarrolladores de software más pequeños se vean rebasados por informes de errores como el encontrado por Mythos. Gracias a la IA, los hackers podrán aprovechar esos errores con mayor rapidez que nunca.

El error de 1998 en el sistema operativo OpenBSD fue uno de los miles que Mythos encontró el mes pasado. Anthropic anunció la semana pasada que está colaborando con unas 50 empresas y organizaciones tecnológicas para detectar y corregir errores, y que actualmente no tiene previsto lanzar Mythos al público en general.

"Necesitamos tener la certeza de poder lanzarlo de manera segura, y no está del todo claro cómo podemos hacerlo con absoluta confianza", dijo Logan Graham, director del Frontier Red Team de Anthropic, que evalúa los riesgos de la IA.

OpenAI, la empresa rival de Anthropic, está desarrollando una campaña similar, ofreciendo a los desarrolladores una versión de su producto centrada en la seguridad para que puedan corregir los sistemas antes de que los ciberdelincuentes descubran estos errores, de acuerdo con una persona enterada de los planes de la compañía. Google también está trabajando en una iniciativa de acceso anticipado para desarrolladores, dijo la empresa.

Anthony Alvernaz, cofundador de Numeric, una plataforma de automatización contable con IA con sede en San Francisco, dice que algunos de los mayores riesgos para las empresas probablemente provengan de la dependencia de las llamadas herramientas de "código abierto" desarrolladas de forma colaborativa, a menudo por voluntarios que quizás no dispongan de los recursos necesarios para manejar rápidamente los reportes de errores. Esa infraestructura forma la base de gran parte de internet, afirmó.

"El código que escribe una empresa es casi como la capa superior de un pastel, y debajo se encuentran todas estas capas" de software de código abierto, explicó.

Cuando se enteró de que Mythos había descubierto un viejo error de seguridad en el sistema operativo OpenBSD, el investigador de seguridad Niels Provos se preguntó si él mismo había cometido el error cuando escribió código para OpenBSD hace 27 años, mientras cursaba su doctorado en la Universidad de Michigan. Una rápida revisión confirmó sus sospechas.

"Para ser sincero, me pareció graciosísimo, porque es un código muy antiguo", dijo Provos, ex director de seguridad de la empresa de pagos Stripe. "Quién sabe cuándo fue la última vez que un humano le echó un vistazo".

Normalmente se requerirían incontables horas de investigación para que un humano encontrara y explotara un error como este. La mayoría de los hackers ni siquiera habría echado un vistazo al antiguo código de Provos, dando por hecho que ya había sido analizado en busca de errores, indicó Provos.

"Antes sólo había un puñado de personas que podía hacer esto", destacó. "Ahora, con estas herramientas, la habilidad necesaria para hacer hazañas realmente sofisticadas se ha reducido drásticamente".

Mythos descubrió el error -junto con varias docenas de otros problemas- consumiendo aproximadamente 20 mil dólares en potencia computacional en el curso de dos días, dijo Anthropic.

En las últimas semanas, Mythos también ha demostrado ser más eficaz escribiendo código capaz de explotar esas vulnerabilidades, añadió Anthropic.

Hoy la mayoría de los ciberataques no involucran vulnerabilidades previamente desconocidas, conocidas como vulnerabilidades de día cero. Los hackers suelen infiltrarse en las empresas utilizando errores ya descubiertos, robando credenciales de acceso o mediante técnicas de ingeniería social. Además, la mayoría de las empresas cuenta con otras estrategias para mitigar los ciberataques, incluso si una computadora individual es hackeada.

A principios de este año, el software de Anthropic descubrió más de 100 errores en el navegador Firefox e incluso fue capaz de escribir código que podía explotar uno de estos errores en una versión prueba del navegador.

Las capacidades de ciberseguridad de los modelos más recientes de IA han convencido a los escépticos en los últimos meses. Comienza a preocuparles que corregir la enorme y creciente cantidad de errores lleve a un desafío logístico sin precedentes, el equivalente en IA al problema del año 2000 (Y2K), un esfuerzo mundial para corregir programas que no podían comprender un año después de 1999.

Muchos profesionales de la ciberseguridad creen que el apocalipsis de errores de IA podría desarrollarse de forma similar, pero corregir con éxito miles de vulnerabilidades en todo tipo de software requerirá un esfuerzo monumental, afirman.

Altos funcionarios de la Casa Blanca, incluyendo a Sean Cairncross, Director Nacional de Ciberseguridad, se apresuran a abordar la amenaza que representan Mythos y otros modelos, identificando las vulnerabilidades en el Gobierno y coordinando la respuesta del sector privado.

Las notificaciones de errores han aumentado 76% respecto al año pasado y el tiempo promedio para corregir un error ha pasado de 160 a 230 días durante el mismo periodo, reporta HackerOne, empresa que ayuda a las compañías a manejar los reportes de errores.

A las empresas también les preocupa que productos tecnológicos que antes se ignoraban puedan convertirse ahora en blancos y que, a diferencia de los gigantes tecnológicos, las empresas o los desarrolladores de software que crean estos productos menos conocidos no tengan los recursos necesarios para manejar la avalancha de actualizaciones.

Sergej Epp experimentó una probadita de este fenómeno en febrero. Como director de seguridad de informática en la empresa de ciberseguridad Sysdig, llevaba una década sin intentar siquiera encontrar una vulnerabilidad. Sin embargo, mientras pasaba el rato con el software de Anthropic, rápidamente descubrió numerosos problemas de seguridad.

En una conferencia de ciberseguridad dos semanas después, dio a conocer un sitio web con código Vibe que utilizaba datos públicos para mostrar la rapidez con la que las herramientas de inteligencia artificial convertían nuevas vulnerabilidades en software susceptible de ser utilizado en ataques.

Todo software tiene errores, afirmó, y cuando se descubre uno, se desata una carrera entre hackers e individuos que buscan corregir el error. Es una carrera constante entre atacantes y defensores.

Hace ocho años, el tiempo promedio entre la divulgación pública de una vulnerabilidad y un ataque era de 847 días, explicó. El año pasado, esa cifra se redujo a 23 días. Este año, la mayoría se explotaron en menos de un día.

"La inteligencia artificial está otorgando superpoderes a los hackers, no a los defensores", concluyó Epp.

Escribe a Robert McMillan a robert.mcmillan@wsj.com y a Chip Cutter a chip.cutter@wsj.com.