Expertos advierten que la era de arreglar vulnerabilidades en 90 días ha muerto por culpa de la IA: "Cada fallo de seguridad crítico hay que solucionarlo de inmediato"

Si hablamos del sector de la ciberseguridad, durante años ha existido una especie de regla no escrita. Cuando un experto encontraba un fallo de seguridad en un programa, le daba a la empresa 90 días para arreglarlo antes de hacerlo público. 

Era un tiempo más que suficiente para que los programadores no trabajaran a contrarreloj y los usuarios estuvieran protegidos. Pero ese pacto se ha acabado. Los expertos advierten que la era de los 90 días ha muerto, y el culpable es la inteligencia artificial. Con herramientas capaces de analizar código a una velocidad nunca antes vista, lo que antes llevaba semanas de investigación ahora se resuelve en una hora.

El problema es que la IA nunca descansa y es una máquina perfecta reconociendo patrones de programación erróneos. Si un hacker (de los buenos) encuentra una vulnerabilidad, puedes estar seguro de que un hacker (de los malos) está usando un modelo de lenguaje para encontrar exactamente lo mismo. Ya no hay margen de maniobra. 

Sin ir más lejos, se han conocido hace escasos días casos como los fallos Copy Fail o Dirty Frag en Linux que han demostrado con creces que, entre que se descubre el problema y se publica el parche, los atacantes ya tienen el exploit listo para entrar en tu sistema. De ahí que la comunidad de desarrolladores de Linux haya puesto en marcha un botón rojo de emergencia para desactivar funciones antes de que llegue el parche.

El creador de cURL desmonta con pruebas el 'hype' y el miedo hacia Claude Mythos: "El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing"

Himanshu Anand, investigador de seguridad, ha dado la voz de alarma sobre esto, advirtiendo que la IA puede convertir un parche en un arma en apenas 30 minutos. Esto se consigue de una forma muy sencilla. 

Los atacantes ya no esperan a que salga una noticia que alerta sobre un fallo de seguridad en Windows 11, por ejemplo; se dedican a vigilar los cambios en el código de los repositorios públicos. En cuanto ven que un programador sube una corrección, usan la IA para analizar la diferencia entre el código viejo y el nuevo, entienden dónde estaba el fallo y crean un ataque automático antes de que tú hayas tenido tiempo de actualizar tu PC para eliminar ese fallo.

Una nueva era: cada fallo de seguridad crítico hay que solucionarlo de inmediato

El consejo de los expertos es claro: hay que tratar cada vulnerabilidad crítica como una prioridad absoluta (P0) y parchearla al momento. Ya no vale eso de esperar al martes de parches de cada mes como hace Microsoft. 

Esa estrategia de lanzar actualizaciones cada 30 días asume que el atacante es más lento que tú, y eso en 2026 es el mayor mito que te puedes encontrar. A día de hoy, los desarrolladores tienen que integrar la propia IA en sus procesos de despliegue de código para que sea la máquina la que detecte y bloquee el fallo antes de que salga a la luz.

Equipos como el de Mozilla están demostrando que se puede hacer frente a esta nueva era y en un solo mes llegaron a publicar más de 400 correcciones de seguridad. Esa es la velocidad que se exige ahora mismo; una agilidad que las empresas de software cerrado como Microsoft, Apple o Google van a tener que copiar sí o sí.