Después de 27 años de torpeza digital, la industria tecnológica descubre que igual había que proteger el software crítico

Han tenido que pasar más de 27 años de internet moderno, miles de parches de emergencia, agujeros de seguridad, servidores heredados y toneladas de software crítico sostenido por el equivalente digital de “ya lo arreglaremos luego”, para que parte de la gran industria tecnológica llegue a una conclusión revolucionaria: quizá no hemos sido demasiado finos protegiendo lo que sostiene medio mundo.

Con ese espíritu entre urgente y sonrojante, Anthropic ha anunciado Project Glasswing, una iniciativa con la que pretende reforzar la seguridad del software más crítico del planeta junto a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. 

La razón de esta repentina epifanía colectiva es Claude Mythos Preview, un modelo todavía no lanzado públicamente que, según Anthropic, ha alcanzado un nivel de capacidad en ciberseguridad capaz de superar a casi todos los humanos en la detección y explotación de vulnerabilidades, salvo a los más especializados. Dicho de otro modo: la máquina ya encuentra fallos mejor que nosotros, lo cual tampoco deja en muy buen lugar a una industria que lleva décadas jurando que la seguridad es prioritaria “desde el diseño”. 

Anthropic asegura que este modelo ya ha detectado miles de vulnerabilidades de alta severidad, incluidas algunas en todos los grandes sistemas operativos y en los principales navegadores web. Entre los ejemplos citados por la empresa figura una vulnerabilidad de 27 años en OpenBSD, otra de 16 años en FFmpeg y varios fallos encadenados en el kernel de Linux que permitían escalar privilegios hasta tomar el control completo de una máquina. Todo muy tranquilizador, sobre todo porque hablamos de software revisado durante años por humanos, auditorías y pruebas automatizadas. 

El problema, según Anthropic, es que estas capacidades avanzan tan rápido que pronto podrían estar al alcance de actores menos responsables. Y claro, si algo ha demostrado la historia reciente de internet es que en cuanto aparece una herramienta potentísima, siempre hay alguien dispuesto a convertirla en una pesadilla global antes de que termine el café de la mañana. 

Por eso Project Glasswing nace con un objetivo defensivo: poner esta IA en manos de socios industriales y de más de 40 organizaciones adicionales que construyen o mantienen infraestructura crítica y software de código abierto, con la idea de encontrar y corregir vulnerabilidades antes de que lo hagan atacantes más creativos. Anthropic dice además que compartirá los aprendizajes con el resto del sector. Un detalle que suena bien, aunque también deja entrever que durante demasiado tiempo hemos ido todos un poco a ciegas, rezando para que nadie mirara debajo de la alfombra. 

Para empujar la iniciativa, la compañía ha comprometido hasta 100 millones de dólares en créditos de uso para Mythos Preview y 4 millones de dólares en donaciones directas a organizaciones dedicadas a la seguridad del software open source. Porque sí, resulta que una parte enorme de la infraestructura digital mundial depende de proyectos abiertos mantenidos muchas veces con recursos limitados, una de esas realidades que la industria recuerda justo cuando empiezan a sonar las alarmas de verdad. 

Anthropic insiste en que Glasswing es solo un comienzo y en que ningún actor puede resolver este desafío por sí solo. Y en eso cuesta llevarles la contraria: después de casi tres décadas construyendo un ecosistema digital lleno de dependencias olvidadas, remiendos acumulados y promesas de “lo securizamos en la próxima versión”, parece evidente que el problema no era pequeño.

La parte seria del anuncio, pese al sarcasmo inevitable, es bastante clara: la IA avanza en meses, pero defender la infraestructura digital global puede llevar años. Y quizá ese sea el resumen perfecto de la noticia: no es solo que la inteligencia artificial corra muchísimo, es que nosotros llevamos demasiado tiempo siendo alarmantemente confiados, lentos y chapuceros con la ciberseguridad. Ahora, por lo visto, toca pedirle a una máquina que venga a recoger el desastre.