En Resumen
- Taylor Hornby reveló con ayuda de Claude Opus 4.8 una falla crítica en Zcash que permitía acuñar ZEC ilimitado y estuvo activa desde mayo de 2022.
- La vulnerabilidad ya fue parcheada, pero no hay forma criptográfica de confirmar si fue explotada, lo que derrumbó el precio de ZEC.
- Expertos advierten que la IA amplifica tanto a atacantes como defensores, con más de $840 millones robados en DeFi en los primeros cinco meses de 2026.
La última generación de modelos de IA de frontera ya no se limita a chatear con usuarios, generar imágenes o escribir código. Los investigadores utilizan cada vez más sistemas como Claude Mythos y Claude Opus 4.8 de Anthropic, y GPT-5.5 de OpenAI, para identificar vulnerabilidades de software, lo que genera preocupaciones sobre lo que sucede cuando estas capacidades se vuelven ampliamente disponibles.
Esta semana, los inversores cripto recibieron una advertencia sobre la creciente amenaza que representa la IA cuando los desarrolladores de Zcash revelaron que Claude Opus 4.8 ayudó a descubrir una vulnerabilidad crítica que habría permitido a un atacante acuñar ZEC de forma ilimitada. Debido al diseño de la red, actualmente no hay forma de saber con certeza si se acuñó ZEC falsificado, y esa incertidumbre provocó que el precio de ZEC se desplomara a finales de esta semana.
Los expertos advierten que podrían descubrirse muchas más vulnerabilidades en las próximas semanas y meses, a medida que el software de IA se vuelve más capaz y estas herramientas se hacen más accesibles. A continuación, un análisis de la creciente amenaza y cómo ya ha impactado al mundo cripto.
Los primeros modelos de IA se utilizaron profesionalmente como asistentes de programación, ayudando a los desarrolladores a escribir, explicar y depurar software. A medida que la tecnología mejoró, los investigadores comenzaron a emplear los mismos sistemas para revisión de código, auditorías de software e investigación de vulnerabilidades.
La transición de asistente de programación a herramienta de seguridad coincidió con un cambio más amplio en el uso de la IA dentro del desarrollo de software. Tras el lanzamiento de Claude Code en 2025, Anthropic reportó un aumento significativo en el código generado por IA en sus equipos de ingeniería, lo que refleja el paso de modelos que sugerían código a sistemas capaces de escribirlo y ejecutarlo.
Los profesionales de seguridad afirman que las implicaciones van más allá de ayudar a los desarrolladores a escribir código.
"La IA es mucho mejor que la mayoría de las personas revisando código y encontrando posibles vulnerabilidades en él", señaló Danny Jenkins, CEO y cofundador de ThreatLocker, a Decrypt. Jenkins afirmó que los sistemas de IA actuales ya están acelerando el descubrimiento de vulnerabilidades, mientras que modelos más recientes como Mythos podrían ampliar significativamente esas capacidades, calificándolo de un "gran problema" inminente.
"Solo será cuestión de tiempo antes de que alguien malintencionado tenga acceso a él", agregó.
Según Jenkins, la IA también está reduciendo las barreras de entrada para la investigación de vulnerabilidades, permitiendo que más personas analicen código, identifiquen debilidades y desarrollen exploits. A medida que el acceso a sistemas cada vez más capaces se expande, espera que el ritmo del descubrimiento de vulnerabilidades se acelere.
"Antes de la IA, las amenazas y exploits de ciberseguridad aumentaban cada año", afirmó. "Después de la IA, se ha vuelto aún más rápido, y creo que ha sido más rápido por dos razones. Una es que ahora puedes usar IA para ayudar a encontrar vulnerabilidades y exploits, y el número de personas con capacidad para hacer esto ha crecido enormemente".
A medida que los sistemas de IA se volvieron más capaces, las empresas comenzaron a aplicarlos a la ciberseguridad. El martes, Anthropic amplió el acceso al Proyecto Glasswing, otorgando a 150 empresas e instituciones acceso a Claude Mythos para ayudar a identificar y remediar vulnerabilidades de software antes de que el modelo sea lanzado de forma más amplia.
En abril, Mozilla reveló que los modelos de Anthropic ayudaron a identificar cientos de vulnerabilidades que fueron corregidas en el navegador web Firefox, mientras que investigadores de Calif utilizaron Mythos Preview en un trabajo que produjo uno de los primeros exploits públicos dirigidos a los chips M5 de Apple.
Stanislav Fort, ex investigador de Google DeepMind y Anthropic, y ahora fundador y científico jefe de la firma de seguridad Aisle, señaló que las preocupaciones sobre el descubrimiento de vulnerabilidades impulsado por IA son válidas, pero a menudo se malinterpretan.
"La respuesta ingenua es intentar controlar el acceso a los modelos más potentes. Creo que esto es esencialmente seguridad por oscuridad, y la seguridad por oscuridad es una de las peores ideas en este campo", dijo Fort a Decrypt. "La capacidad para el descubrimiento de zero-days ya está ampliamente distribuida en modelos que nadie puede restringir. Intentar contenerla en la frontera no elimina el riesgo; solo lo retrasa mientras también frena a los defensores que más necesitan estas herramientas".
Fort señaló que el mayor riesgo es que los defensores, en particular los mantenedores de código abierto, pueden carecer de acceso a las mismas herramientas avanzadas de IA disponibles para los atacantes.
"Ese desequilibrio es el verdadero peligro", afirmó. "La respuesta no es la restricción; es la democratización del stack defensivo".
Anthropic no está sola en el impulso de modelos de IA orientados a la ciberseguridad. En mayo, Microsoft introdujo MDASH, un sistema agéntico de descubrimiento de vulnerabilidades que, según la compañía, ayudó a identificar vulnerabilidades desconocidas en Windows.
El riesgo para el ecosistema cripto
El ecosistema cripto y DeFi comienza a sentir el impacto de la búsqueda de bugs impulsada por IA. Los proyectos blockchain siempre han sido objetivos atractivos porque hay mucho dinero en juego y gran parte del código es público. Jenkins afirmó que, a medida que la IA mejore en la detección de fallas de software, los proyectos cripto de código abierto podrían convertirse en blancos más fáciles tanto para investigadores de seguridad que buscan bugs como para atacantes que buscan explotarlos.
En uno de los ejemplos más claros de cómo los modelos avanzados de IA pueden ayudar a los investigadores a descubrir vulnerabilidades que habían sobrevivido años de revisión humana, el investigador de seguridad independiente Taylor Hornby reveló la vulnerabilidad crítica en el pool de privacidad Orchard de Zcash, que descubrió con la asistencia de Claude Opus 4.8.
La falla podría haber permitido a un atacante crear ZEC falsificado de forma ilimitada, y había pasado desapercibida durante años antes de ser parcheada. Si el exploit fue realmente utilizado sigue siendo desconocido.
"La vulnerabilidad estuvo presente desde la activación de Orchard en mayo de 2022 hasta que se implementó la corrección de emergencia el 1 de junio de 2026", escribió Shielded Labs, la organización detrás del desarrollo de Zcash, en una publicación de divulgación. "Debido a las propiedades de privacidad de Orchard y a la naturaleza del bug, no existe una forma definitiva de determinar, usando únicamente criptografía, si dicha explotación ocurrió".
El ataque llega en un momento en que los protocolos DeFi ya enfrentan uno de sus peores años en términos de exploits. Más de $840 millones fueron robados de proyectos DeFi en los primeros cinco meses de 2026, incluyendo más de $600 millones solo en abril, en ataques a proyectos como KelpDAO y Drift Protocol.
La aparición del llamado 'vibe hacking', donde los atacantes utilizan agentes de código de IA para automatizar el reconocimiento, el robo de credenciales, el desarrollo de malware y otras tareas, ha generado preocupaciones de que la IA está reduciendo las barreras para llevar a cabo ciberataques sofisticados.
Según Natalie Newson, investigadora sénior de blockchain en la plataforma de seguridad Web3 CertiK, si bien abril fue inusualmente severo en términos de exploits cripto, la tendencia más amplia se mantiene estable y por debajo del número máximo de incidentes registrados en años anteriores.
"Abril de 2026 fue un mal mes para los exploits cripto; solo hubo tres días sin un exploit en el que se sustrajeron al menos $10.000", señaló. "Sin embargo, cuando miramos el panorama más amplio, el número de incidentes (excluyendo phishing) ha sido bastante consistente y sigue siendo inferior al pico de 2023".
Si bien la IA está facilitando los exploits en DeFi, según el CTO de Blockaid, Raz Niv, el mayor riesgo no es que la IA reemplace a los hackers, sino que los amplifique, permitiendo a los atacantes enfocarse en técnicas más sofisticadas mientras la IA se encarga de las tareas rutinarias.
"La buena noticia es que los defensores pueden usar las mismas herramientas", afirmó. "El monitoreo y la simulación asistidos por IA se están volviendo esenciales para los equipos de seguridad que intentan mantenerse al día".