Claude Mythos y el hype exagerado de la AI

Hace muy poco la industria de la ciberseguridad se estremeció con el anuncio de Anthropic sobre su nuevo modelo, Mythos. La promesa de este sistema es aterradora para cualquier gerente de TI: la capacidad de romper virtualmente cualquier software actual mediante el descubrimiento autónomo de vulnerabilidades zero day y el desarrollo inmediato de exploits. 

El impacto fue tal que las acciones de las empresas de ciberseguridad más grandes del mundo sufrieron caídas importantes en la bolsa. La narrativa que se vendió fue que los humanos ya no seremos necesarios para proteger o atacar sistemas, pues una máquina lo hará más rápido y mejor.

En Cyte® tomamos en serio este tipo de alertas (como lo han visto con nuestros anuncios entorno al Q-Day). De hecho, tuvimos una reunión de emergencia para evaluar el impacto real de Mythos sobre nuestra propia arquitectura y la de nuestros clientes. Analizamos si nuestras herramientas de cifrado y protección de archivos, como Crypto-Vault®, podrían verse vulneradas por un razonamiento automatizado de esta magnitud.

La conclusión a la que llegamos es que, si bien la IA es una herramienta poderosa para detectar patrones de código inseguro o librerías desactualizadas, todavía existe una distancia enorme entre hallar una anomalía y ejecutar un ataque complejo que sortee múltiples capas de defensa orquestadas.

El mercado bursátil y las redes sociales reaccionaron emocionalmente a la amenaza de Mythos similar a como la gente empezó a tenerle un miedo desmedido a los tiburones después del estreno de “Tiburón”, pese a que en realidad es más probable morir por las fauces de un hipopótamo.

Y es que la realidad suele ser más aburrida y triste que la ficción. Las organizaciones colombianas están siendo vulneradas por problemas de vulnerabilidades conocidas y solucionados hace meses o años, pero que no han sido oportunamente manejados por problemas de gobernanza de TI y fallos de vigilancia y control.

¿Sabían por ejemplo que hace un par de semanas la Superintendencia de Salud confirmó la vulneración de datos médicos de la historia de Colombia (fuente)? Estamos hablando de información tan sensible como registros de mujeres en estado de gestación, enfermedades terminales y condiciones de discapacidad física o problemas de salud mental. No se trata de simples bases de datos con nombres y cédulas, son relatos íntimos y desesperados de ciudadanos que acudieron al Estado como último recurso, detallando patologías que a menudo no comparten ni con su círculo cercano y que ahora, por una falla de custodia, han quedado a disposición de cualquiera en los rincones más oscuros de la red, sin necesidad de necesitar un modelo LLM como Mythos.

Mythos, AGI y Asteroides

La noticia de Mythos me recuerda a los anuncios que hace la NASA ocasionalmente sobre asteroides gigantes que en unos años “van a pasar peligrosamente cerca a la Tierra”. Ante esas noticias uno suele reaccionar de manera estoica o desinteresada. Un dato de cóctel más para contar. Son noticias que hemos escuchado varias veces y que solo tendrían relevancia si el anuncio fuese “el asteroide XYZ se encuentra en rumbo de impacto catastrófico con la Tierra”.

Si la NASA de verdad tuviese esta clase de certeza veríamos una movilización internacional inmediata y una inversión masiva de recursos para intentar desviar la trayectoria del objeto antes de que sea demasiado tarde.  Con Mythos pasa algo similar pues aunque el anuncio es espectacular todavía se siente como una posibilidad lejana y no sabemos si es un asteroide que va a chocar o simplemente “va a pasar a unos cuantos millones de km de nosotros”.

Aparte de Mythos hemos escuchado a los CEOs de las grandes compañías tecnológicas vaticinando la Inteligencia Artificial General (AGI) en un plazo de tres a cinco años, asegurando que estamos ante el evento más importante de la historia humana. Sin embargo estas promesas no suelen venir acompañadas de detalles técnicos sobre cómo superarán las limitaciones físicas de energía y hardware que hoy enfrentan.

Además existe un muro invisible con respecto a las fuentes de información para el entrenamiento de estos modelos LLM. Se están quedando sin bases de datos de información pública que plagiar -o como ellos prefieren llamarlo… “entrenar”-. En lugar de un análisis de riesgo serio, nos entregan un horóscopo de revista diseñado para atraer inversionistas y elevar el precio de las acciones.

El mayor riesgo que enfrentan las organizaciones hoy no es que una IA las hackee mañana, sino que sus líderes tomen decisiones erróneas hoy basados en el hype desmedido. He escuchado de gerentes que consideran detener la contratación de desarrolladores o expertos en seguridad porque asumen que Copilot o Gemini harán todo el trabajo pesado.

Esto es una decisión de alto riesgo. Despedir personal clave basándose en una promesa tecnológica es como quitarle los airbag a un carro porque Musk prometió que en el futuro los carros no chocarán. La IA actual es un copiloto, no un reemplazo de la sabiduría técnica que se requiere para entender por qué un sistema falla en producción.

Creer ciegamente en las capacidades de estas herramientas puede llevar a una dependencia operativa peligrosa. Debemos recordar que el modelo de negocio actual de la IA está fuertemente subsidiado por el patrimonio de las empresas creadoras para ganar cuota de mercado. Es una estrategia de "quemar dinero" para establecer un monopolio sobre la información. Ya estamos viendo cómo los precios empiezan a subir y cómo las condiciones de uso se vuelven más restrictivas y costosas. Si su organización acopla toda su operación a un modelo externo que hoy es barato pero mañana puede duplicar su precio o cambiar sus políticas de privacidad, usted está cediendo su soberanía tecnológica.

“Ni tanto que queme al santo…”

Espero que al lector no le quede la moraleja “ah bueno, entonces si tenía razón en no preocuparme por esas noticias de la IA, y la computadoras cuánticas y el dizque calentamiento global”, todo lo contrario. “Over-hype” quiere decir inflación desmedida de expectativas, pero no quiere decir que no haya un motivo válido para emocionarse o preocuparse.  Se trata de tener la sabiduría para discernir qué cambios capitalizar, de cuáles protegerse y cuáles, por su irrelevancia, dejar pasar (ver la moda de “NFTs y Blockchain” como referencia).

Mythos, y los análisis de vulnerabilidades con LLM en general, merecen toda la atención por parte de expertos e involucrados, y deben tomarse todas las precauciones necesarias. El proyecto Glasswing de Anthropic busca precisamente liberar ese modelo de manera controlada, dando acceso a los principales proveedores tecnológicos y actores relevantes como :

• Proveedores de Nube: AWS (Amazon), Google Cloud y Microsoft Azure.

• Hardware y Redes: NVIDIA, Broadcom, Cisco y Apple.

• Seguridad y Finanzas: CrowdStrike, Palo Alto Networks y JPMorganChase.

• Código Abierto: La Linux Foundation (para asegurar el núcleo de casi todos los servidores del mundo).

  
  

En conclusión, el desafío que enfrentamos no es únicamente tecnológico, sino de discernimiento estratégico. Hay que evitar que la urgencia de los titulares o el temor a quedar fuera de la tendencia dicte el rumbo de la organización. ¿Qué opina de lo que promete Mythos? ¿Estamos ante una verdadera amenaza inminente que cambiará las reglas de la ciberseguridad o se trata de otro caso de overhype desmedido diseñado para capturar la atención del mercado?