Eludir defensas, encontrar vulnerabilidades y capturar la bandera: una red neuronal israelí superó al 99% de los participantes en torneos de hacking.
5.000 dólares y sin dormir: todo lo que hace falta para un sistema que descifra códigos más rápido que casi cualquier persona
La inteligencia artificial ya aprendió a participar en competiciones de hackers casi mejor que la mayoría de las personas, y lo hace más rápido, más barato y sin cansancio.
La empresa israelí Tenzai declaró, que su sistema superó al 99 % de los participantes en una serie de seis prestigiosos torneos del formato capturar la bandera. En ese tipo de torneos se evalúan las habilidades de intrusión: los participantes evaden las defensas, encuentran vulnerabilidades y tratan de alcanzar la "bandera" oculta, como en ataques reales. En esta ocasión en los juegos participaron alrededor de 125.000 personas.
Los desarrolladores de Tenzai adaptaron los modelos de lenguaje de OpenAI y Anthropic a tareas de ciberseguridad ofensiva. El sistema resolvió tanto ejercicios clásicos, en los que hay que comprometer una aplicación web, como escenarios más recientes: ataques a aplicaciones con inteligencia artificial mediante peticiones especialmente diseñadas. El responsable de la empresa, Pavel Gurvich, contó que el programa aprendió de forma inesperada a combinar distintas vulnerabilidades, algo que antes resultaba casi imposible de automatizar.
Estas tecnologías ya han salido de los laboratorios. Los programas basados en inteligencia artificial son capaces de buscar y explotar masivamente las debilidades de los sistemas, y el umbral de entrada para los ataques se reduce notablemente. Al mismo tiempo, las mismas herramientas pueden emplearse para la defensa: encontrar y corregir vulnerabilidades antes que los atacantes. En definitiva, todo se reduce a la velocidad: quién descubra primero el problema.
El coste también ha cambiado. Ejecutar el modelo de Tenzai en todas las competiciones costó aproximadamente 5.000 dólares. Para organismos estatales o grupos de ciberdelincuentes esas sumas resultan insignificantes. Incluso para personas individuales con acceso a fondos, herramientas como estas se vuelven bastante asequibles. Gurvich considera que el mercado requiere restricciones: en su opinión, no se deberían divulgar libremente modelos potentes para el hackeo y debe suministrarse solo a un círculo limitado de clientes.
La empresa Tenzai apareció en 2025. Fue fundada por exagentes de los servicios de inteligencia israelíes, y ya seis meses después la startup captó 75 millones de dólares de inversión con una valoración de 330 millones. Los inversores se interesaron por sistemas con capacidades que los desarrolladores califican como "nivel de organismos estatales".
Ya se habían intentado antes enfrentar la inteligencia artificial y las personas en retos de hacking. La startup Xbow el año pasado llegó a la cima del ranking de la plataforma HackerOne, donde se tienen en cuenta las vulnerabilidades encontradas y corregidas. La empresa Anthropic probó su modelo Claude en competiciones estudiantiles: allí el sistema entró en el 3 % superior y, más tarde, encontró más de 500 vulnerabilidades críticas en software de código abierto. Aun así, las personas no han perdido definitivamente. El sistema de Tenzai entraba de forma constante en las cien mejores posiciones, pero nunca obtuvo el primer puesto. La primera línea del ranking sigue siendo para un humano.