Un error, dos IAs, tres horas: el exploit ya está listo

La automatización del desarrollo de exploits ya no es cosa del futuro lejano: ya está aquí. La inteligencia artificial, armada con los prompts adecuados y acceso a datos públicos, puede convertir en cuestión de horas la descripción de una vulnerabilidad en un exploit funcional. Así lo contó un especialista de ProDefense, que logró crear en una sola noche un exploit para una vulnerabilidad crítica en la biblioteca SSH de Erlang (CVE-2025-32433).

La idea surgió tras una publicación de Horizon3.ai, que mencionaba lo fácil que era desarrollar un exploit para esa vulnerabilidad. Matthew Keely decidió comprobar si una IA podía recorrer el camino desde un CVE hasta un código funcional, y quedó impresionado con los resultados. GPT-4 y Claude Sonnet 3.7 no solo comprendieron el fallo, sino que lograron comparar el código corregido con el original, identificar las diferencias y explicar en qué consistía exactamente la brecha.

Inicialmente, el modelo intentó generar un entorno de fuzzing y lo hizo con éxito: archivos Docker, configuración de un servidor SSH vulnerable, y comandos de prueba. Aunque el fuzzing no produjo resultados directos, sirvió de punto de partida. Fue al analizar los diffs del parche publicado que GPT-4 pudo escribir un PoC completo, explicando además la lógica de la vulnerabilidad e indicando cómo el cambio en el código añadía protección contra mensajes no autenticados.

El primer exploit no funcionó —algo común con código generado por IA—, así que Keely recurrió a otra herramienta basada en IA: Cursor, con el modelo Claude Sonnet 3.7, que logró completarlo. El resultado fue un PoC funcional creado en solo unas horas con la ayuda de prompts y código abierto.

La velocidad con la que ahora se puede pasar de la publicación de un CVE a un ataque ha aumentado notablemente. Como señala el propio Keely, antes esto podía tardar días o semanas —ahora basta un solo día. Según sus observaciones, en el último año el ritmo de propagación de vulnerabilidades se ha acelerado, al igual que la coordinación entre atacantes: una misma vulnerabilidad puede explotarse globalmente, en distintos sectores, regiones e infraestructuras, literalmente dentro de las 24 horas posteriores a su divulgación.

El aumento de las amenazas también se refleja en las estadísticas: el número de vulnerabilidades publicadas (CVE) creció un 38 % en solo un año —de 2023 a 2024. No se trata solo de un salto cuantitativo, sino de una señal del ritmo acelerado de toda la cadena: desde el hallazgo hasta la explotación.

Para los defensores, esto significa una cosa: la reacción debe ser inmediata. Cada nuevo CVE debe considerarse como potencialmente ya explotado. La estrategia de defensa debe contemplar la posibilidad de actualizar los sistemas de forma segura y urgente. Solo así se puede responder a esta nueva realidad, en la que la IA convierte ideas de hackers en exploits funcionales incluso antes de que un administrador termine de leer la descripción de la vulnerabilidad.