La mayor empresa de ciberseguridad de Australia ha emitido una advertencia urgente sobre una nueva y poderosa herramienta de inteligencia artificial que puede encontrar y explotar vulnerabilidades de software a una velocidad y escala sin precedentes, y que los expertos temen que pueda desencadenar la próxima ola de importantes violaciones de datos.
CyberCX dijo el jueves a empresas, bancos y operadores de infraestructura australianos que tenían una ventana de oportunidad para fortalecer sus defensas antes de que la tecnología o sus copias terminen en manos de delincuentes.
La advertencia se refiere a Claude Mythos Preview, un modelo de inteligencia artificial inédito de la empresa estadounidense Anthropic que la empresa considera demasiado peligroso para publicarlo. Anthropic ha restringido el acceso a unos 50 importantes socios de tecnología e infraestructura, incluidos Microsoft, Google, Apple, Amazon y JPMorgan Chase, como parte de un programa llamado Proyecto Glasswing.
Mythos ya ha descubierto miles de fallas de software previamente desconocidas, incluida una falla de hace 27 años en un sistema operativo utilizado en firewalls y enrutadores de Internet en todo el mundo. En una prueba se llevaron a cabo 181 ataques eficaces contra el navegador web Firefox. Una versión anterior, disponible públicamente, solo administraba dos.
Angela Jiang, jefa de producto de Anthropic, dijo que la capacidad cibernética surgió en parte como un subproducto de los esfuerzos más amplios de la compañía en codificación y roles de agentes a largo plazo.
“Si algo es realmente bueno codificando, también lo es para detectar ciberataques, especialmente en una variedad de superficies diferentes, y encadenarlos”, dijo Jiang. La empresa ha tenido “el privilegio de trabajar con varias empresas para ayudar a mejorar la infraestructura crítica”.
Dimitri Vedeneev, jefe de IA segura en CyberCX, dijo que no es sólo la capacidad de Mythos para encontrar vulnerabilidades ocultas durante mucho tiempo lo que lo distingue, sino también su capacidad para encadenar múltiples vulnerabilidades y sugerir cómo explotarlas, todo desde un solo mensaje.
“Las organizaciones australianas no deberían esperar a que el acceso a Mythos sea una especie de solución mágica”, dijo Vedeneev. “No pasará mucho tiempo antes de que esta capacidad (u otras similares) esté más disponible y potencialmente en manos de ciberdelincuentes”.
El mito ha perturbado a los gobiernos de todo el mundo. El Gobernador del Banco de Inglaterra, Andrew Bailey, dijo a la BBC que los bancos centrales examinarían lo que la tecnología podría significar para el cibercrimen, mientras que el Ministro de Finanzas canadiense, François-Philippe Champagne, describió a Mythos como un “desconocido desconocido” en las reuniones del Fondo Monetario Internacional en Washington. La administración Trump ha convocado a los principales jefes de bancos estadounidenses para discutir los riesgos.
Anthropic espera que las empresas de inteligencia artificial competidoras lancen herramientas igualmente poderosas dentro de 18 meses. OpenAI ha dado acceso a un grupo selecto de usuarios a su propio modelo centrado en lo cibernético, GPT-5.4-Cyber. Bloomberg informó la semana pasada que un pequeño grupo de usuarios no autorizados había obtenido acceso a Mythos a través de terceros, y Anthropic confirmó que está investigando.
Anthropic anunció por separado el viernes el lanzamiento beta público de Claude Security, un producto defensivo que permite a los clientes empresariales escanear su propio código en busca de vulnerabilidades y generar parches. Dijo que cientos de organizaciones habían utilizado la herramienta en avances de investigaciones para encontrar errores “que las herramientas existentes habían pasado por alto durante años”. Accenture, Deloitte, PwC, BCG e Infosys, entre otras, utilizan el producto.
Un portavoz de Anthropic dijo que la compañía está comenzando con “algunas de las empresas más grandes con sede en EE. UU.” basándose en que “si pueden proteger rápidamente sus productos, esa seguridad se ampliará a un nivel global”, y agregó que espera expandir las asociaciones de ciberseguridad.
No todo el mundo está convencido de que Mythos represente un avance claro. Juraj Janosik, director de IA de la firma de ciberseguridad ESET, dijo que los modelos para identificar vulnerabilidades existían mucho antes que Mythos. Con la orquestación adecuada, los actores de amenazas podrían “ya lograr capacidades similares a las de Mythos con modelos ampliamente disponibles”.
“Muchas organizaciones todavía no pueden mantener una higiene cibernética básica y, a menudo, se aprovechan de vulnerabilidades más antiguas que ya son públicas”, dijo Janosik. “Si bien los avances en la capacidad de la IA son motivo de preocupación, quedan eclipsados por la falta general de resiliencia cibernética”.
Manuel Salazar, director de servicios cibernéticos de Orro de Australia, dijo que los fundamentos no habían cambiado. “El mito cambia la velocidad a la que se exponen los fundamentos débiles”, dijo. “Para las organizaciones maduras, la IA es un multiplicador de fuerzas; para las organizaciones menos maduras, puede acelerar la recuperación, pero no puede eludir los fundamentos”.
Salazar dijo que las empresas australianas deberían tener acceso a los beneficios defensivos de la IA de clase Mythos, pero no “acceso irrestricto a un motor de explotación de vanguardia”.
“Australia debe asegurar el acceso a tecnologías avanzadas de inteligencia artificial a través de agencias como la Dirección de Señales de Australia, el Ministerio del Interior y el Coordinador Nacional de Seguridad Cibernética”, dijo. “Si no nos involucramos ahora, corremos el riesgo de quedarnos atrás de nuestros colegas estadounidenses”.
El diario de Wall Street informó el jueves que la Casa Blanca rechazó una propuesta de Anthropic para aproximadamente duplicar el número de organizaciones con acceso a Mythos, citando preocupaciones de seguridad. La relación del gobierno con Anthropic se ha visto tensa por una disputa anterior sobre el uso militar de la IA de la empresa, que ahora es objeto de dos demandas.
No está claro si las organizaciones australianas forman parte del Proyecto Glasswing. Anthropic firmó un acuerdo con el gobierno albanés a principios de este año y abrió una oficina en Sydney, pero ninguna agencia australiana ha confirmado públicamente el acceso.
La advertencia se produce en el contexto de las filtraciones de Optus y Medibank en 2022, que en conjunto expusieron los datos personales de millones de clientes y cambiaron la confianza del público en las grandes instituciones. Las infracciones explotaron vulnerabilidades relativamente tradicionales, y se teme que herramientas de inteligencia artificial más sofisticadas como Mythos puedan permitir a los atacantes encontrar y explotar vulnerabilidades en sistemas que antes se consideraban seguros.
CyberCX alienta a las organizaciones australianas a mapear sus sistemas críticos, segmentar sus redes y “luchar contra la IA con IA” mediante el despliegue de IA defensiva en funciones de seguridad.
Obtenga noticias y reseñas sobre tecnología, dispositivos y juegos. Nuestro boletín tecnológico. Regístrate para recibirlo todos los viernes.
David Swan es editor de tecnología de The Age y The Sydney Morning Herald. Anteriormente fue editor de tecnología del periódico The Australian.Conéctate a través de X o Correo electrónico.De nuestros socios
About The Author
