Ciberataques: cuando la IA se enfrenta (con maestría) a los hackers humanos

¿Y si las inteligencias artificiales ya fueran capaces de competir con los mejores hackers? Recientes competiciones están sembrando dudas y revelando actuaciones asombrosas.

¿Te imaginas una IA capaz de burlar los sistemas de seguridad más complejos, infiltrándose en redes como un fantasma digital? Este escenario, digno de un thriller tecnológico, quizás sea menos futurista de lo que pensamos. Para salir de dudas, unos investigadores tuvieron una idea: enfrentar a las IA contra humanos en pruebas de hacking a escala real. Los resultados, publicados en un estudio de Palisade Research, provocan escalofríos... y mucho en qué reflexionar.

IA en el banquillo: bienvenidos a los "Capture The Flag"

Para poner a prueba los músculos digitales de las IA, nada como un "Capture The Flag" (CTF). ¿Qué es eso? Imagina una especie de búsqueda del tesoro digital gigante donde los participantes, humanos o IA, deben encontrar vulnerabilidades de seguridad para hacerse con una "bandera", una cadena de caracteres única escondida en el corazón de los sistemas. Es como Fort Boyard, pero con líneas de código en lugar de pruebas físicas, y donde el Padre Fouras sería un experto en criptografía.

Dos de estas competiciones, organizadas por la plataforma Hack The Box en marzo de 2025, llamaron especialmente la atención. Primero, "IA vs. Humanos", donde 400 equipos, mayoritariamente humanos, compitieron. Luego, "Cyber Apocalypse", un evento masivo con más de 8000 equipos y cerca de 18,000 participantes humanos. Y en ambos casos, las IA brillaron con luz propia.

Google y su Project Mariner: ¿La IA del futuro hará nuestras maletas (y la compra) por nosotros?

El arte de la "elicitación": cómo hacer cantar a una IA

Si las IA destacaron, no fue por casualidad. Los investigadores hablan de "elicitación de IA", un término algo técnico para describir el arte de extraer el máximo rendimiento de una inteligencia artificial en una tarea concreta. Es como un entrenador deportivo que empuja a su atleta a superarse. ¿Por qué este esfuerzo? Porque evaluaciones previas a menudo "subestimaron dramáticamente" las capacidades reales de las IA.

Ante este panorama, los autores del estudio de Palisade Research proponen un nuevo enfoque: la elicitación participativa ("crowdsourcing"). La idea es simple: en lugar de confiar la evaluación a un solo equipo, ¿por qué no dejar que varios equipos compitan para sacar lo mejor de las IA? Una especie de lluvia de ideas gigante y competitiva, con recompensas para estimular la ingeniosidad.

¿La IA, futura reina de los hackers? Resultados que hablan por sí solos

¿Y los resultados? Prepárate. En la competición "IA vs. Humanos", los equipos de IA se situaron en el top 5% de los participantes, con cuatro de siete agentes de IA logrando resolver 19 de los 20 desafíos propuestos. Todo ello por un total de 7500 dólares en premios. El agente de IA más destacado, llamado CAI, incluso alcanzó el puesto 20 en la clasificación general. ¡Nada mal para programas!

La competición "Cyber Apocalypse" confirmó la tendencia: el mejor agente de IA se situó en el top 10% de todos los competidores, superando así al 90% de los equipos humanos. Más impresionante aún, los investigadores aplicaron una metodología (la de METR) para estimar el nivel de esfuerzo humano que las IA actuales pueden igualar. Conclusión: las IA pueden resolver de manera fiable desafíos de ciberseguridad que requerirían alrededor de una hora de trabajo a un participante humano promedio en CTF.

Cuando tu página web empieza a charlar con la IA: NLWeb explicado a tu abuela (o casi)

Una paradoja interesante: los humanos no están (todavía) fuera de juego

¿Significa esto el fin del hacker humano? No tan rápido. El estudio revela una paradoja interesante. En "IA vs. Humanos", los equipos humanos más rápidos lograron competir con las IA en términos de velocidad. ¿Su secreto? Gran experiencia en CTF y familiaridad con técnicas clásicas para resolver este tipo de problemas, como confesó un participante, "jugador en varios equipos de nivel internacional con años de experiencia".

También hay que decir que los desafíos de "IA vs. Humanos" estaban diseñados a medida para las IA: pruebas de criptografía y "ingeniería inversa" (el arte de descomponer un programa para entender su funcionamiento) realizables localmente, sin interacciones complejas con máquinas externas. Algo que no ocurría en aproximadamente dos tercios de los desafíos de "Cyber Apocalypse", donde algunas IA, menos optimizadas para estas interacciones, tuvieron más dificultades.

Google Gemini 2.5: Una inmersión en la IA que quiere pensar (mucho) más grande

¿La arena abierta: un mejor revelador del talento (oculto) de las IA?

Al final, ¿qué podemos aprender de estos enfrentamientos digitales? Principalmente que evaluar las capacidades ofensivas de las IA en ciberseguridad es un desafío complejo pero crucial. Confiar únicamente en pruebas de laboratorio, realizadas por un puñado de expertos, ya no es suficiente.

El enfoque de crowdsourcing, con competiciones abiertas y recompensas, parece ofrecer una alternativa prometedora y rentable para seguir en tiempo real la evolución fulgurante de estas capacidades. Como concluyen los investigadores, "el rendimiento de las IA mediante crowdsourcing superó ampliamente nuestras expectativas iniciales". Estos eventos también permiten recopilar datos valiosos sobre el rendimiento humano a gran escala.

Por ello, se lanza un llamado: que los organizadores de CTF multipliquen las "pistas para IA" y que se financien este tipo de evaluaciones abiertas. Porque para anticipar riesgos y guiar políticas de regulación, mejor saber con precisión lo que nos depara el futuro.

Y quién sabe, tal vez la próxima vez que maldigas un fallo informático, te preguntarás si no será una IA traviesa jugándote una broma... ¡solo para practicar!