la IA ya es todo un agente de ciberseguridad. Apunta a cambiarlo todo en empresas pequeñas

La ciberseguridad (la de verdad, no la de instalar un antivirus y un cortafuegos) está a punto de dejar de ser un riqueza reservado a grandes corporaciones, pues el llegada a la IA está democratizando el llegada a herramientas antaño inaccesibles para pequeños negocios y profesionales independientes.

Así emerge una nueva figura en el panorama tecnológico: la del vibe hacker (a imagen y dependencia del 'vibe coder'), un cámara asistido por IA que no necesita ser un práctico en ciberseguridad para identificar, explotar y mitigar vulnerabilidades.

El concepto se sitúa en la frontera entre el vibe coding —ese explicación de software sin código, guiado muchas veces por la mera intuición— y el hacking ético potenciado por modelos de IA. El caso más ilustrativo de esto es el uso de agentes autónomos de ciberseguridad como el framework CAI (Cybersecurity AI), que ya está revolucionando el sector.

Un nuevo prototipo: la IA como agente activo

Allá de ser una simple útil de donación, CAI se presenta como un situación modular, rajado y semiautónomo, diseñado para ejecutar como un definitivo agente IA. Desarrollado para dar soporte tanto a expertos como a entusiastas de la ciberseguridad, CAI combina:

• Modelos de estilo (LLMs) para razonamiento y toma de decisiones,
• Herramientas específicas para tareas como escaneo de puertos, explotación de servicios o prospección de configuraciones,
• Supervisión humana en todo momento (Human-in-the-loop), garantizando control ético y responsabilidad.

En pruebas reales, como en entornos CTF (Capture The Flag) y competiciones en plataformas como HackTheBox, CAI ha mostrado un rendimiento hasta 3.600 veces más rápido que el humano, siendo capaz de detectar y explotar vulnerabilidades sin intervención directa.

Un caso positivo: así hackea una IA paso a paso

Para entender el potencial positivo de una IA en ciberseguridad, nadie mejor que ver cómo actúa en un tablado práctico. A continuación desgranamos una operación positivo, desvelada en X y llevada a lugar por un sistema CAI en una competición de hacking ético en HackTheBox —una plataforma reconocida mundialmente por entrenar a expertos en ciberseguridad.

El objetivo era tomar el control completo de una máquina remota. En el mundo del hacking, eso significa encontrar la 'flag de root', una especie de trofeo digital que demuestra que has llegado hasta el núcleo del sistema. Y estos son los pasos que dio la IA:

• Paso 1: Obtener al sistema: Lo primero que hace CAI es usar un becario y contraseña conocidos (poco popular en estos retos de entrenamiento) para conectarse a la máquina, como si iniciara sesión en un ordenador ignorante. Ya está en el interior.
• Paso 2: Explorar los archivos del becario: Como cualquier buen detective digital, lo posterior es mirar cerca de. La IA explora el escritorio y carpetas del becario para encontrar pistas. Encuentra un archivo llamado 'user.txt' (la primera prueba superada) y un pequeño script llamado 'linpeas.sh', peculiar en auditorías para detectar configuraciones débiles.
• Paso 3: Averiguar caminos para avanzar privilegios: En este punto, CAI no tiene llegada total: solo es un 'becario invitado'. Necesita encontrar una puerta trasera para convertirse en 'root' (administrador). Descubre que ese becario pertenece a un clase llamado management, lo cual le da permiso para modificar ciertos archivos del sistema.
• Paso 4: Analizar un servicio que se ejecuta como administrador: La IA encuentra un archivo de configuración llamado 'configuration.php', usado por un servicio que vigila el estado de algunos sitios web. Lo importante: ese servicio se ejecuta automáticamente como administrador… y CAI puede cambiar ese archivo.
• Paso 5: Idea brillante: usar el sistema contra sí mismo: En vez de atacar con fuerza bruta, CAI se vuelve astuta. Cambia el archivo de configuración para que, en división de simplemente atender webs, el sistema 'espíe' su propio archivo oculto, 'root.txt', que depositario la preciada flag final. Luego, ordena que esa información se guarde en una carpeta accesible.
• Paso 6: Esperar (sin aupar sospechas): El sistema, sin saberlo, ejecuta esa tarea por sí solo unos minutos luego. No nota nadie raro. Solo sigue sus órdenes.
• Paso 7: Objetivo cumplido: CAI revisa la carpeta, encuentra la flag final… y da por completada su encomienda. Ha ganadería. Sin carestia de un hacker humano pegado a la pantalla.

Puedes ver el vídeo accediendo a esta publicación de X

¿Por qué esto es tan relevante? Porque este ejemplo demuestra poco radical: una IA puede realizar todo el ciclo de un ciberataque  —desde entrar a un sistema, inquirir vulnerabilidades, y explotarlas— sin ayuda directa.

Y lo más importante: este poder ya está al talento de cualquier persona curiosa. Con herramientas como CAI, ya no hace yerro ser un ingeniero de la NASA ni tener un máster en ciberseguridad. Solo hay que conocer hacer las preguntas adecuadas. Y eso —como veremos— cambia por completo las reglas del pasatiempo para las pequeñas empresas.

¿Por qué esto importa para las pequeñas empresas?

Históricamente, los programas de ciberseguridad serios —como auditorías, test de penetración o billete en bug bounties— estaban reservados a grandes organizaciones con presupuestos abultados. Las pequeñas y medianas empresas quedaban fuera, expuestas y sin opciones viables. Los problemas eran básicamente dos:

• Concentración del mercado: solo las grandes empresas sacan definitivo provecho de los programas de recompensas.
• Desigualdad en seguridad: sin llegada a herramientas y talento, las pymes se convierten en blancos fáciles.

Con CAI, esto cambia. Las herramientas se vuelven accesibles, reutilizables, auditables y —sobre todo— utilizables por no expertos. Lo que antaño costaba miles de euros y semanas de trabajo, hoy puede estar al talento de un emprendedor con un ordenador portátil y poco de curiosidad.

De los script kiddies a los prompt kiddies

Así como en los primaveras 90 se hablaba despectivamente de los script kiddies —usuarios inexpertos que ejecutaban scripts de hacking ajenos sin entenderlos—, pero hoy estamos viendo emerger a los prompt kiddies: personas sin formación técnica profunda que, con solo conocer cómo escribir una orden en estilo natural, pueden orquestar auditorías completas y ciberataques simulados.

Limitaciones y desafíos

Esto plantea desafíos éticos y grandes oportunidades. A pesar de su potencial, CAI y herramientas similares aún requieren supervisión: no son totalmente autónomas, y en contextos complejos todavía necesitan de motivo humano. Adicionalmente, la estandarización de métricas para evaluar su desempeño positivo en producción es una tarea irresoluto.

Asimismo, el cumplimiento regulatorio —como el Reglamento de IA de la UE, NIS2 y GDPR— será crucial para su despliegue seguro y ético en entornos reales.

Vía | Víctor Mayoral

Imagen | Marcos Merino mediante IA

En Genbeta | ChatGPT es una de las IAs a la que los grupos de hackers recurren para optimizar sus ciberataques, según OpenAI y Microsoft