Mientras buscaba un tema para este artículo, en pocas horas recibí más de un centenar de alertas de seguridad de un mismo sistema operativo. Entre ellas: ejecución remota de código en Python (CVE-2026-6100), desbordamiento de búfer en el procesamiento de archivos TIFF (CVE-2026-4775), escalada de privilegios en OpenSSH (CVE-2026-35385) y ejecución arbitraria de código en Nginx (CVE-2026-42945). Un botón de muestra de la diversidad y actualidad de las amenazas.
Hace unos días, una cuenta de ciberseguridad en X publicó que Claude Mythos, el nuevo modelo de IA de Anthropic, había descubierto más de 10.000 vulnerabilidades graves en sistemas operativos, dispositivos de red y software de código abierto. Entre ellas, miles eran zero days. Durante su preestreno, Anthropic afirmó que Mythos puede buscar vulnerabilidades y convertirlas automáticamente en exploits funcionales, sin necesidad de intervención experta.
Podría parecer una exageración, incluso una estrategia de marketing. Pero los datos de proveedores como CPanel, Debian, AlmaLinux o Nginx confirman la tendencia. Estamos entrando en una nueva era: las amenazas aparecerán más rápido, y necesitaremos nuevas estrategias para mitigarlas o remediarlas.
Cifras que asustan
Fuente: CVE.org Metrics
En el primer trimestre de 2018 se registraron 3.935 CVEs. Cinco años después, en el mismo período de 2023, fueron 7.015. En el primer trimestre de 2026 (sin contar aún todos los hallazgos de Mythos) ya se han publicado 15.176 CVEs, casi el total de todo el año 2018 (16.512).
La IA está redefiniendo la ciberseguridad
En 2021, los modelos de IA eran incapaces de encontrar vulnerabilidades por sí mismos. Hoy, su evolución les permite destacar en el análisis de código fuente. Aunque muchos expertos coinciden: todavía no operan de forma completamente autónoma en ataques reales.
Cuando se usa IA para revisar código, las vulnerabilidades se detectan, verifican y parchan con rapidez. Pero no todo es sencillo. Habrá fallos fáciles de encontrar… y muy difíciles de corregir, por ejemplo en dispositivos IoT o switches de red. En sistemas distribuidos que cruzan múltiples nubes y servicios (S3, APIs, NoSQL, CDN, WAF…), distinguir entre una vulnerabilidad real y un falso positivo se volverá extremadamente complejo.
Una estrategia posible es clasificar en cuatro cuadrantes:
- Parchables vs. no parchables
- Vulnerabilidades fáciles de detectar vs. difíciles de detectar
Entonces, ¿qué podemos hacer?
Para los sistemas imposibles de parchar y cuyas vulnerabilidades son difíciles de detectar (incluso con IA), la mejor defensa es poner capas de seguridad alrededor y evitar su exposición directa a Internet. En el extremo opuesto están dispositivos como los celulares, que reciben actualizaciones constantes y son relativamente sencillos de mantener.
Plazos según CISA
La agencia de ciberseguridad de EE.UU. (CISA) define estos plazos para parchar los sistemas federales:
- KEV (vulnerabilidades conocidas explotables): 14 días máximo.
- Críticas: 15 días desde la detección
- Alta gravedad: 30 días desde la detacción
- Zero-day: entre 24 y 72 horas
Extraoficialmente, se espera que estos plazos se reduzcan aún más ante la avalancha de amenazas.
Infraestructura inmutable: "ganado, no mascotas"
¿Cómo cumplir plazos tan ajustados? Con prácticas de DevOps. En lugar de parchar un sistema en caliente, lo que siempre implica el riesgo de dejarlo inoperativo, se trata la infraestructura como ganado, no como mascotas: no se cura, se reemplaza. Se levanta una nueva infraestructura ya parchada y se desecha la vieja, todo mediante flujos automatizados CI/CD.
Conclusión
Se avecina una avalancha de vulnerabilidades. A este ritmo, pasarán años (y muchos hackeos) antes de que el parchado continuo sea la norma. Por eso, empezar hoy con infraestructura inmutable no es una opción: es una necesidad.
